1.   Deze verordening is van toepassing op met cyberbeveiliging samenhangende aspecten van grensoverschrijdende elektriciteitsstromen in de activiteiten van de volgende entiteiten, indien deze overeenkomstig artikel 24 zijn aangemerkt als entiteiten met zeer belangrijke impact of met kritieke impact:

2.   De volgende autoriteiten zijn, in het kader van hun huidige opdracht, verantwoordelijk voor het verrichten van de in deze verordening toegewezen werkzaamheden:

3.   Deze verordening is ook van toepassing op alle entiteiten die niet in de Unie zijn gevestigd, maar die diensten verlenen aan entiteiten in de Unie, mits zij door de bevoegde instanties overeenkomstig artikel 24, lid 2, als entiteiten met zeer belangrijke impact of met kritieke impact zijn aangemerkt.

4.   Deze verordening laat de verantwoordelijkheid van de lidstaten onverlet om de nationale veiligheid te beschermen en hun bevoegdheid om andere essentiële staatsfuncties te beschermen, waaronder de verdediging van de territoriale integriteit van de staat en de handhaving van de openbare orde.

5.   Deze verordening laat de verantwoordelijkheid van de lidstaten onverlet om de nationale veiligheid te beschermen met betrekking tot activiteiten op het gebied van de productie van elektriciteit uit kerncentrales, met inbegrip van activiteiten binnen de nucleaire waardeketen, overeenkomstig de Verdragen.

6.   Entiteiten, de bevoegde instanties, de centrale contactpunten op entiteitsniveau en de CSIRT’s verwerken persoonsgegevens voor zover dat nodig is voor de toepassing van deze verordening en overeenkomstig Verordening (EU) 2016/679, en met name berust een dergelijke verwerking op artikel 6 daarvan.

1.   Elke lidstaat wijst zo spoedig mogelijk en in elk geval uiterlijk 13 december 2024 een nationale overheidsinstantie of een nationale regelgevende instantie aan om de bij deze verordening daaraan toegewezen werkzaamheden te verrichten (“bevoegde instantie”). Tot het moment dat de bevoegde instantie belast is met de verrichting van de werkzaamheden uit hoofde van deze verordening, verricht de overeenkomstig artikel 57, lid 1, van Richtlijn (EU) 2019/944 door elke lidstaat aangewezen regelgevende instantie de werkzaamheden van de bevoegde instantie overeenkomstig deze verordening.

2.   De lidstaten stellen de Commissie, ACER, Enisa, de bij artikel 14 van Richtlijn (EU) 2022/2555 opgerichte NIS-samenwerkingsgroep en de bij artikel 1 van het besluit van de Commissie van 15 november 2012 (17) opgerichte Coördinatiegroep voor elektriciteit onverwijld in kennis van, en delen hun de naam en de contactgegevens van hun overeenkomstig lid 1 aangewezen bevoegde instantie en alle latere wijzigingen daarvan mee.

3.   De lidstaten kunnen hun bevoegde instantie machtigen aan andere nationale instanties werkzaamheden te delegeren, met uitzondering van de in artikel 5 genoemde werkzaamheden. Iedere bevoegde instantie houdt toezicht op de toepassing van deze verordening door de instanties waaraan zij werkzaamheden heeft gedelegeerd. De bevoegde instantie deelt de naam, de contactgegevens, de toegewezen werkzaamheden en alle latere wijzigingen daarvan van de instanties waaraan een taak is gedelegeerd, aan de Commissie, ACER, de Coördinatiegroep voor elektriciteit, Enisa en de NIS-samenwerkingsgroep mee.

1.   De TSB’s ontwikkelen, in samenwerking met de EU DSB-entiteit, voorstellen voor de voorwaarden of methoden overeenkomstig lid 2, of voor plannen overeenkomstig lid 3.

2.   De volgende voorwaarden of methoden, alsmede wijzigingen daarvan, worden ter goedkeuring voorgelegd aan alle bevoegde instanties:

3.   De voorstellen voor de regionale plannen ter beperking van cyberbeveiligingsrisico’s overeenkomstig artikel 22 moeten worden goedgekeurd door alle bevoegde instanties van de betrokken systeembeheersregio.

4.   De voorstellen voor de in lid 2 genoemde voorwaarden en methoden of voor de in lid 3 genoemde plannen omvatten een voorgesteld tijdschema voor de uitvoering en een beschrijving van het verwachte effect op de doelstellingen van deze verordening.

5.   De EU DSB-entiteit kan de betrokken TSB’s tot drie weken vóór het verstrijken van de termijn een met redenen omkleed advies sturen om het voorstel voor de voorwaarden of methoden of voor de plannen bij de bevoegde instanties in te dienen. De voor het voorstel voor de voorwaarden of methoden of voor de plannen verantwoordelijke TSB’s nemen het met redenen omklede advies van de EU DSB-entiteit in aanmerking voordat het ter goedkeuring aan de bevoegde instanties wordt voorgelegd. De TSB’s verstrekken een motivering indien het advies van de EU DSB-entiteit niet in aanmerking is genomen.

6.   Bij de gezamenlijke ontwikkeling van de voorwaarden en methoden en de plannen werken de deelnemende TSB’s nauw samen. Met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit informeren de TSB’s de bevoegde instanties en ACER regelmatig over de voortgang van de ontwikkeling van de voorwaarden of methoden, en van de plannen.

1.   Indien de TSB’s die over voorstellen voor voorwaarden of methoden besluiten, geen overeenstemming kunnen bereiken, nemen zij een besluit met gekwalificeerde meerderheid van stemmen. Een gekwalificeerde meerderheid voor dergelijke voorstellen wordt als volgt berekend:

2.   Een blokkerende minderheid voor besluiten over in artikel 6, lid 2, genoemde voorstellen voor voorwaarden of methoden omvat TSB’s die minimaal vier lidstaten vertegenwoordigen; als er geen blokkerende minderheid is, wordt de gekwalificeerde meerderheid geacht te zijn bereikt.

3.   Indien TSB’s van een systeembeheersregio die over in artikel 6, lid 2, genoemde voorstellen voor plannen besluiten, geen overeenstemming kunnen bereiken en indien de betrokken systeembeheersregio uit meer dan vijf lidstaten bestaat, nemen de TSB’s een besluit bij gekwalificeerde meerderheid van stemmen. Een gekwalificeerde meerderheid voor de in artikel 6, lid 2, genoemde voorstellen vereist de volgende meerderheid:

4.   Een blokkerende minderheid voor besluiten inzake voorstellen voor plannen omvat ten minste het minimumaantal TSB’s dat meer dan 35 % van de bevolking van de deelnemende lidstaten vertegenwoordigt, plus TSB’s die ten minste één extra betrokken lidstaat vertegenwoordigen; als er geen blokkerende minderheid is, wordt de gekwalificeerde meerderheid geacht te zijn bereikt.

5.   Voor besluiten van de TSB over voorstellen voor voorwaarden of methoden overeenkomstig artikel 6, lid 2, wordt per lidstaat één stem toegekend. Als er op het grondgebied van een lidstaat meer dan één TSB is, verdeelt die lidstaat de stembevoegdheden over de TSB’s.

6.   Indien de TSB’s, in samenwerking met de EU DSB-entiteit, niet binnen de in deze verordening vastgestelde termijnen bij de relevante bevoegde instanties een eerste of een gewijzigd voorstel voor voorwaarden of methoden of voor plannen indienen, verstrekken zij de relevante bevoegde instanties en ACER de betrokken ontwerpen van de voorwaarden of methoden, of van de plannen. Zij lichten toe waarom er geen overeenkomst is bereikt. De bevoegde instanties treffen gezamenlijk de passende maatregelen om de vereiste voorwaarden of methoden of de vereiste plannen vast te stellen. Dit kan bijvoorbeeld geschieden door overeenkomstig dit lid te verzoeken om wijzigingen in de ontwerpen, door die ontwerpen te herzien en aan te vullen, of, indien er geen ontwerpen zijn ingediend, door de vereiste voorwaarden of methoden of de vereiste plannen vast te stellen en goed te keuren.

1.   De TSB’s dienen de voorstellen voor voorwaarden of methoden of voor plannen ter goedkeuring in bij de relevante bevoegde instanties binnen de in de artikelen 18, 23, 29, 33, 34, 35 en 37 vastgestelde termijnen. De bevoegde instanties kunnen deze termijnen in uitzonderlijke omstandigheden gezamenlijk verlengen, met name in gevallen waarin een termijn niet kan worden gehaald als gevolg van omstandigheden buiten de macht van TSB’s of van de EU DSB-entiteit.

2.   Voorstellen voor voorwaarden, methoden of plannen overeenkomstig lid 1 worden ter informatie bij ACER ingediend op hetzelfde moment dat zij bij de bevoegde instanties worden ingediend.

3.   Op gezamenlijk verzoek van de NRI’s brengt ACER binnen een termijn van zes maanden na ontvangst van de voorstellen voor voorwaarden of methoden, of voor plannen, daarover advies uit en stelt het de NRI’s en de bevoegde instanties in kennis van zijn advies. De NRI’s, de CS-NCA’s en alle andere als bevoegde instantie aangewezen instanties plegen onderling overleg voordat de NRI’s ACER om advies verzoeken. ACER kan in zijn advies aanbevelingen opnemen. ACER raadpleegt Enisa alvorens advies uit te brengen over de in artikel 6, lid 2, genoemde voorstellen.

4.   De bevoegde instanties plegen overleg en werken nauw samen om overeenstemming te bereiken over de voorgestelde voorwaarden, methoden of plannen. Alvorens de voorwaarden of methoden of de plannen goed te keuren, herzien en vervolledigen zij de voorstellen indien nodig, na raadpleging van het ENTSB voor elektriciteit en de EU DSB-entiteit, om te waarborgen dat de voorstellen in overeenstemming zijn met deze verordening en bijdragen tot een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Unie.

5.   De bevoegde instanties nemen, binnen een termijn van zes maanden na ontvangst daarvan door de relevante bevoegde instantie of, in voorkomend geval, door de laatste betrokken relevante bevoegde instantie, een besluit over de voorwaarden of methoden of over de plannen.

6.   Indien ACER een advies uitbrengt, nemen de relevante bevoegde instanties dat advies in aanmerking en nemen zij hun besluiten binnen een termijn van zes maanden na ontvangst van het advies van ACER.

7.   Indien de bevoegde instanties gezamenlijk een wijziging van de voorgestelde voorwaarden of methoden of van de plannen verlangen om die goed te keuren, ontwikkelen de TSB’s, in samenwerking met de EU DSB-entiteit, een voorstel tot wijziging. De TSB’s dienen binnen een termijn van twee maanden na het verzoek van de bevoegde instanties het gewijzigde voorstel ter goedkeuring in. De bevoegde instanties nemen binnen een termijn van twee maanden na de indiening een besluit over de gewijzigde voorwaarden of methoden, of over de gewijzigde plannen.

8.   Indien de bevoegde instanties binnen de in lid 5 of lid 7 bedoelde termijn geen overeenstemming hebben kunnen bereiken, stellen zij de Commissie daarvan in kennis. De Commissie kan passende maatregelen treffen om de vereiste voorwaarden of methoden of plannen te doen vaststellen.

9.   De TSB’s publiceren, met de hulp van het ENTSB voor elektriciteit en de EU DSB-entiteit, de voorwaarden of methoden of de plannen op hun website na goedkeuring door de relevante bevoegde instanties, tenzij die informatie overeenkomstig artikel 47 als vertrouwelijk wordt beschouwd.

10.   De bevoegde instanties kunnen de TSB’s en de EU DSB-entiteit gezamenlijk verzoeken om voorstellen tot wijziging van de goedgekeurde voorwaarden of methoden, of van de goedgekeurde plannen, en een termijn bepalen voor de indiening van die voorstellen. De TSB’s kunnen, in samenwerking met de EU DSB-entiteit, ook ambtshalve wijzigingen voorstellen aan de bevoegde instanties. De voorstellen tot wijziging van de voorwaarden of methoden, of voor wijzigingen van de plannen, worden ontwikkeld en goedgekeurd volgens de procedure van dit artikel.

11.   Ten minste om de drie jaar na de eerste vaststelling van de respectieve voorwaarden of methoden, of de respectieve vastgestelde plannen, evalueren de TSB’s in samenwerking met de EU DSB-entiteit de doeltreffendheid van de vastgestelde voorwaarden of methoden, of van de vastgestelde plannen, en brengen onverwijld verslag uit aan de bevoegde instanties en ACER over de resultaten van de beoordeling.

1.   Met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit raadplegen de TSB’s de belanghebbenden, waaronder ACER, Enisa en de bevoegde instantie van iedere lidstaat, over de ontwerpvoorstellen voor de in artikel 6, lid 2, genoemde voorwaarden of methoden en voor de in artikel 6, lid 3, genoemde plannen. De duur van de raadpleging bedraagt ten minste één maand.

2.   De in artikel 6, lid 2, genoemde voorstellen voor voorwaarden of methoden die door de TSB’s, in samenwerking met de EU DSB-entiteit, zijn ingediend, worden bekendgemaakt en ter raadpleging voorgelegd op het niveau van de Unie. De in artikel 6, lid 3, genoemde voorstellen voor plannen die door de relevante TSB’s, in samenwerking met de EU DSB-entiteit, op regionaal niveau zijn ingediend, worden ten minste op regionaal niveau ter raadpleging voorgelegd.

3.   Met de hulp van het ENTSB voor elektriciteit, en de EU DSB-entiteit die verantwoordelijk is voor het voorstel voor de voorwaarden of methoden of voor de plannen, houden de TSB’s afdoende rekening met de standpunten van de belanghebbenden zoals die naar voren komen uit de raadplegingen overeenkomstig lid 1, voordat het ter goedkeuring aan de regelgevende instantie wordt voorgelegd. In alle gevallen wordt bij de indiening van een voorstel voor voorwaarden of methoden een deugdelijke rechtvaardiging voor het al dan niet in dat voorstel opnemen van de uit de raadpleging voortgekomen standpunten gegeven; deze rechtvaardiging wordt tijdig, voorafgaand aan of gelijktijdig met het voorstel voor voorwaarden of methoden, bekendgemaakt.

1.   De door de TSB’s en de DSB’s gedragen kosten die onderworpen zijn aan nettariefregulering en voortvloeien uit de in deze verordening vastgestelde verplichtingen, met inbegrip van de door het ENTSB voor elektriciteit en de EU DSB-entiteit gedragen kosten, worden door de relevante NRI van iedere lidstaat beoordeeld.

2.   Kosten die als redelijk, doelmatig en evenredig worden beoordeeld, worden verhaald door middel van nettarieven of andere passende mechanismen, zoals bepaald door de desbetreffende NRI.

3.   Op verzoek van de relevante NRI’s verstrekken de in lid 1 bedoelde TSB’s en DSB’s binnen een redelijke, door de NRI bepaalde termijn de informatie om de beoordeling van de gemaakte kosten te vergemakkelijken.

1.   ACER houdt toezicht op de uitvoering van deze verordening overeenkomstig artikel 32, lid 1, van Verordening (EU) 2019/943 en artikel 4, lid 2, van Verordening (EU) 2019/942. Bij de uitvoering van dit toezicht kan ACER met Enisa samenwerken en kan het het ENTSB voor elektriciteit en de EU DSB-entiteit om steun verzoeken. ACER informeert de Coördinatiegroep voor elektriciteit en de NIS-samenwerkingsgroep regelmatig over de uitvoering van deze verordening.

2.   ACER publiceert ten minste om de drie jaar na de inwerkingtreding van deze verordening een verslag om:

3.   Uiterlijk 13 juni 2025 kan ACER, in samenwerking met Enisa en na raadpleging van het ENTSB voor elektriciteit en de EU DSB-entiteit, richtsnoeren uitvaardigen over de relevante informatie die voor toezichtsdoeleinden aan ACER wordt meegedeeld, alsook over het proces en de regelmaat van de verzameling, op basis van de overeenkomstig lid 5 vastgestelde prestatie-indicatoren.

4.   De bevoegde entiteit kan toegang krijgen tot de relevante informatie waarover ACER beschikt en die het overeenkomstig dit artikel heeft verzameld.

5.   ACER stelt in samenwerking met Enisa en met de steun van het ENTSB voor elektriciteit en de EU DSB-entiteit niet-bindende prestatie-indicatoren vast voor de beoordeling van de operationele betrouwbaarheid in verband met de met cyberbeveiliging samenhangende aspecten van grensoverschrijdende elektriciteitsstromen.

6.   De in artikel 2, lid 1, genoemde entiteiten dienen bij ACER de informatie in die ACER nodig heeft om de in lid 2 genoemde werkzaamheden te verrichten.

1.   Uiterlijk 13 juni 2025 stelt ACER, in samenwerking met Enisa, een niet-bindende gids voor cyberbeveiligingsbenchmarking op. In de gids wordt aan de NRI’s uitgelegd wat de beginselen zijn van benchmarking van de uitgevoerde cyberbeveiligingscontroles overeenkomstig lid 2, met inachtneming van de kosten van de uitvoering van de controles en de doeltreffendheid van de functie van de processen, producten, diensten, systemen en oplossingen om dergelijke controles uit te voeren. ACER houdt rekening met bestaande benchmarkverslagen bij het opstellen van de niet-bindende gids voor cyberbeveiligingsbenchmarking. ACER legt de niet-bindende gids voor cyberbeveiligingsbenchmarking ter informatie aan de NRI’s voor.

2.   Binnen twaalf maanden na de opstelling van de benchmarkinggids overeenkomstig lid 1 voeren de NRI’s een benchmarkinganalyse uit om na te gaan of de huidige investeringen in cyberbeveiliging:

3.   Voor de benchmarkinganalyse kunnen de NRI’s de door ACER opgestelde niet-bindende gids voor cyberbeveiligingsbenchmarking in aanmerking nemen, en beoordelen zij in het bijzonder:

4.   Informatie met betrekking tot benchmarkinganalyses wordt behandeld en verwerkt conform de vereisten inzake gegevensclassificatie van deze verordening, de minimale cyberbeveiligingscontroles en het beoordelingsverslag over grensoverschrijdende cyberbeveiligingsrisico’s voor elektriciteit. De in de leden 2 en 3 bedoelde benchmarkanalyse wordt niet openbaar gemaakt.

5.   Onverminderd de vertrouwelijkheidsvereisten van artikel 47 en de noodzaak om de veiligheid te beschermen van entiteiten die onder deze verordening vallen, wordt de in de leden 2 en 3 bedoelde benchmarkanalyse gedeeld met alle NRI’s, alle bevoegde instanties, ACER, Enisa en de Commissie.

1.   Binnen 18 maanden na de inwerkingtreding van deze verordening streven de TSB’s van een aan een derde land grenzende systeembeheersregio ernaar overeenkomsten te sluiten met TSB’s van het aangrenzende derde land die aan het toepasselijke Unierecht voldoen en waarin de basis voor samenwerking op het gebied van de bescherming van cyberbeveiliging en de samenwerkingsregelingen op het gebied van cyberbeveiliging met die TSB’s worden vastgelegd.

2.   De TSB’s stellen de bevoegde instantie in kennis van de overeenkomstig lid 1 gesloten overeenkomsten.

1.   Entiteiten die geen vestiging in de Unie hebben maar wel diensten verlenen aan entiteiten in de Unie en overeenkomstig artikel 24, lid 6, zijn aangemerkt als entiteiten met zeer belangrijke impact of met kritieke impact, wijzen binnen drie maanden na de kennisgeving schriftelijk een vertegenwoordiger in de Unie aan en stellen de kennisgevende bevoegde instantie daarvan in kennis.

2.   Deze vertegenwoordiger wordt gemachtigd om door een bevoegde instantie of een CSIRT in de Unie te worden benaderd, naast of in plaats van de entiteit met zeer belangrijke impact of met kritieke impact ten aanzien van de verplichtingen van de entiteit uit hoofde van deze verordening. De entiteit met zeer belangrijke impact of met kritieke impact verleent haar wettelijke vertegenwoordiger de nodige bevoegdheden en voldoende middelen om een efficiënte en tijdige samenwerking met de relevante bevoegde instanties of CSIRT’s te waarborgen.

3.   De vertegenwoordiger is gevestigd in een van de lidstaten waar de entiteit haar diensten aanbiedt. Deze entiteit wordt geacht onder de jurisdictie te vallen van de lidstaat waar de vertegenwoordiger is gevestigd. Entiteiten met zeer belangrijke impact of met kritieke impact delen de naam, het postadres, het e-mailadres en het telefoonnummer van hun wettelijke vertegenwoordiger mee aan de bevoegde instantie in de lidstaat waar die wettelijke vertegenwoordiger verblijft of gevestigd is.

4.   De aangewezen wettelijke vertegenwoordiger kan aansprakelijk worden gesteld voor de niet-naleving van verplichtingen uit hoofde van deze verordening, onverminderd de aansprakelijkheid van en de gerechtelijke stappen die tegen de entiteiten met zeer belangrijke impact of met kritieke impact kunnen worden ondernomen.

5.   Bij ontstentenis van een aangewezen vertegenwoordiger binnen de Unie uit hoofde van dit artikel kan iedere lidstaat waar de entiteit diensten verricht, gerechtelijke stappen ondernemen tegen de entiteit wegens niet-nakoming van de verplichtingen uit hoofde van deze verordening.

6.   De aanwijzing van een wettelijke vertegenwoordiger binnen de Unie krachtens lid 1 vormt geen vestiging in de Unie.

1.   Het ENTSB voor elektriciteit en de EU DSB-entiteit werken samen bij het uitvoeren van cyberbeveiligingsrisicobeoordelingen overeenkomstig de artikelen 19 en 21, en met name bij de volgende werkzaamheden:

2.   De samenwerking tussen het ENTSB voor elektriciteit en de EU DSB-entiteit kan de vorm aannemen van een werkgroep voor cyberbeveiligingsrisico’s.

3.   Het ENTSB voor elektriciteit en de EU DSB-entiteit informeren ACER, Enisa, de NIS-samenwerkingsgroep en de Coördinatiegroep voor elektriciteit regelmatig over de voortgang bij de uitvoering van de Uniebrede en regionale cyberbeveiligingsrisicobeoordelingen overeenkomstig de artikelen 19 en 21.

1.   Uiterlijk 13 maart 2025 dienen de TSB’s, met de hulp van het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit en na overleg met de NIS-samenwerkingsgroep, een voorstel in voor de beoordelingsmethoden voor cyberbeveiligingsrisico’s op het niveau van de Unie, op regionaal niveau en op het niveau van de lidstaten.

2.   De beoordelingsmethoden voor cyberbeveiligingsrisico’s op het niveau van de Unie, op regionaal niveau en op het niveau van de lidstaten omvatten:

3.   De beoordelingsmethoden voor cyberbeveiligingsrisico’s op het niveau van de Unie, op regionaal niveau en op het niveau van de lidstaten beoordelen de cyberbeveiligingsrisico’s aan de hand van dezelfde risicoimpactmatrix. De risicoimpactmatrix:

4.   In de beoordelingsmethoden voor cyberbeveiligingsrisico’s op het niveau van de Unie wordt beschreven hoe de ECII-waarden voor drempels voor zeer belangrijke impact of voor kritieke impact zullen worden vastgesteld. Aan de hand van de ECII kunnen entiteiten met behulp van de in lid 2, punt b), bedoelde criteria de gevolgen van de risico’s voor hun bedrijfsproces inschatten tijdens bedrijfseffectbeoordelingen die zij overeenkomstig artikel 26, lid 4, punt c), i), uitvoeren.

5.   Het ENTSB voor elektriciteit stelt, in overleg met de EU DSB-entiteit, de Coördinatiegroep voor elektriciteit in kennis van de voorstellen voor de beoordelingsmethoden voor cyberbeveiligingsrisico’s die overeenkomstig lid 1 worden ontwikkeld.

1.   Binnen negen maanden na de goedkeuring van de beoordelingsmethoden voor cyberbeveiligingsrisico’s overeenkomstig artikel 8 en vervolgens om de drie jaar voert het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit en in overleg met de NIS-samenwerkingsgroep, onverminderd artikel 22 van Richtlijn (EU) 2022/2555, een Uniebrede cyberbeveiligingsrisicobeoordeling uit en stelt het een ontwerp van Uniebreed beoordelingsverslag over cyberbeveiligingsrisico’s op. Daartoe wordt gebruikgemaakt van de overeenkomstig artikel 18 ontwikkelde en overeenkomstig artikel 8 goedgekeurde methoden om de mogelijke gevolgen van cyberaanvallen die de operationele veiligheid van het elektriciteitssysteem aantasten en grensoverschrijdende elektriciteitsstromen verstoren, in kaart te brengen, te analyseren en te beoordelen. Bij de Uniebrede cyberbeveiligingsrisicobeoordeling wordt de juridische, financiële of reputatieschade van cyberaanvallen niet in aanmerking genomen.

2.   Het Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s bevat de volgende elementen:

3.   Met betrekking tot de Uniebrede processen met zeer belangrijke impact en de Uniebrede processen met kritieke impact bevat het Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s:

4.   Het ENTSB voor elektriciteit dient, in samenwerking met de EU DSB-entiteit, het ontwerp van het Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s met de resultaten van de Uniebrede cyberbeveiligingsrisicobeoordeling bij ACER in voor advies. ACER brengt binnen drie maanden na ontvangst van het ontwerpverslag advies uit. Het ENTSB voor elektriciteit en de EU DSB-entiteit houden bij het voltooien van dat verslag zo veel mogelijk rekening met het advies van ACER.

5.   Binnen drie maanden na ontvangst van het advies van ACER stelt het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit, ACER, de Commissie, Enisa en de bevoegde instanties in kennis van het definitieve Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s.

1.   Iedere bevoegde instantie voert een cyberbeveiligingsrisicobeoordeling op lidstaatniveau uit voor alle entiteiten met zeer belangrijke impact of met kritieke impact in haar lidstaat aan de hand van de overeenkomstig artikel 18 ontwikkelde en overeenkomstig artikel 8 goedgekeurde methoden. In de cyberbeveiligingsrisicobeoordeling op lidstaatniveau worden de risico’s van cyberaanvallen die de operationele veiligheid van het elektriciteitssysteem aantasten en grensoverschrijdende elektriciteitsstromen verstoren, in kaart gebracht en geanalyseerd. Bij de cyberbeveiligingsrisicobeoordeling op lidstaatniveau wordt de juridische, financiële of reputatieschade van cyberaanvallen niet in aanmerking genomen.

2.   Binnen 21 maanden na de kennisgeving van de entiteiten met zeer belangrijke impact of met kritieke impact overeenkomstig artikel 24, lid 6, en vervolgens om de drie jaar, en na raadpleging van de CS-NCA voor elektriciteit, verstrekt iedere bevoegde instantie, ondersteund door het CSIRT, een beoordelingsverslag over cyberbeveiligingsrisico’s op lidstaatniveau aan het ENTSB voor elektriciteit en de EU DSB-entiteit, dat per bedrijfsproces met zeer belangrijke impact of met kritieke impact de volgende informatie bevat:

3.   In het beoordelingsverslag over cyberbeveiligingsrisico’s op lidstaatniveau wordt rekening gehouden met het overeenkomstig artikel 10 van Verordening (EU) 2019/941 opgestelde risicoparaatheidsplan van de lidstaat.

4.   De informatie in het beoordelingsverslag over cyberbeveiligingsrisico’s op lidstaatniveau overeenkomstig lid 2, punten a) tot en met d), wordt niet gekoppeld aan specifieke entiteiten of activa. Het beoordelingsverslag over cyberbeveiligingsrisico’s op lidstaatniveau bevat ook een risicobeoordeling van de tijdelijke afwijkingen die door de bevoegde instanties in de lidstaten zijn verleend overeenkomstig artikel 30.

5.   Het ENTSB voor elektriciteit en de EU DSB-entiteit kunnen de bevoegde instanties om aanvullende informatie verzoeken met betrekking tot de in lid 2, punten a) en c), genoemde werkzaamheden.

6.   De bevoegde instanties waarborgen dat de door hen verstrekte informatie nauwkeurig en juist is.

1.   Het ENTSB voor elektriciteit voert, in samenwerking met de EU DSB-entiteit en in overleg met het betrokken regionale coördinatiecentrum, een regionale cyberbeveiligingsrisicobeoordeling uit voor iedere systeembeheersregio aan de hand van de overeenkomstig artikel 19 ontwikkelde en overeenkomstig artikel 8 goedgekeurde methoden, om de risico’s van cyberaanvallen die de operationele veiligheid van het elektriciteitssysteem aantasten en grensoverschrijdende elektriciteitsstromen verstoren, in kaart te brengen, te analyseren en te evalueren. Bij de regionale cyberbeveiligingsrisicobeoordelingen wordt de juridische, financiële of reputatieschade van cyberaanvallen niet in aanmerking genomen.

2.   Binnen 30 maanden na de kennisgeving van de entiteiten met zeer belangrijke impact of met kritieke impact overeenkomstig artikel 24, lid 6, en vervolgens om de drie jaar, stelt het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit en in overleg met de NIS-samenwerkingsgroep, per systeembeheersregio een regionaal beoordelingsverslag over cyberbeveiligingsrisico’s op.

3.   In het regionale beoordelingsverslag over cyberbeveiligingsrisico’s wordt de relevante informatie in de Uniebrede beoordelingsverslagen over cyberbeveiligingsrisico’s en in de beoordelingsverslagen over cyberbeveiligingsrisico’s op lidstaatniveau in aanmerking genomen.

4.   In het regionale beoordelingsverslag over cyberbeveiligingsrisico’s worden de overeenkomstig artikel 6 van Verordening (EU) 2019/941 aangemerkte regionale elektriciteitscrisesscenario’s met betrekking tot cyberbeveiliging in aanmerking genomen.

1.   Binnen 36 maanden na de kennisgeving van de entiteiten met zeer belangrijke impact of met kritieke impact overeenkomstig artikel 24, lid 6, en uiterlijk 13 juni 2031, en vervolgens om de drie jaar, ontwikkelen de TSB’s, met de hulp van het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit en in overleg met de regionale coördinatiecentra en de NIS-samenwerkingsgroep, per systeembeheersregio een regionaal plan ter beperking van cyberbeveiligingsrisico’s over cyberbeveiligingsrisico’s.

2.   De regionale plannen ter beperking van cyberbeveiligingsrisico’s omvatten;

3.   Het ENTSB voor elektriciteit dient de regionale plannen ter beperking van risico’s in bij de relevante transmissiesysteembeheerders, de bevoegde instanties en de Coördinatiegroep voor elektriciteit. De Coördinatiegroep voor elektriciteit kan wijzigingen aanbevelen.

4.   De TSB’s actualiseren, met de hulp van het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit en in overleg met de NIS-samenwerkingsgroep, de regionale plannen ter beperking van cyberbeveiligingsrisico’s om de drie jaar, tenzij de omstandigheden tot een frequentere actualisering nopen.

1.   Binnen 40 maanden na de kennisgeving van de entiteiten met zeer belangrijke impact of met kritieke impact overeenkomstig artikel 24, lid 6, en vervolgens om de drie jaar, verstrekken de TSB’s, met de hulp van het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit en in overleg met de NIS-samenwerkingsgroep, aan de Coördinatiegroep voor elektriciteit een verslag over het resultaat van de beoordeling van cyberbeveiligingsrisico’s met betrekking tot grensoverschrijdende elektriciteitsstromen (het “uitgebreide beoordelingsverslag over grensoverschrijdende cyberbeveiligingsrisico’s voor elektriciteit”).

2.   Het uitgebreide beoordelingsverslag over grensoverschrijdende cyberbeveiligingsrisico’s voor elektriciteit wordt gebaseerd op het Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s, de beoordelingsverslagen over cyberbeveiligingsrisico’s op lidstaatniveau en de regionale beoordelingsverslagen over cyberbeveiligingsrisico’s, en bevat de volgende informatie:

3.   De in artikel 2, lid 1, genoemde entiteiten kunnen bijdragen tot de ontwikkeling van het uitgebreide beoordelingsverslag over grensoverschrijdende cyberbeveiligingsrisico’s voor elektriciteit, met inachtneming van de vertrouwelijkheid van de informatie overeenkomstig artikel 47. Met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit raadplegen de TSB’s deze entiteiten in een vroeg stadium.

4.   Op het uitgebreide beoordelingsverslag over grensoverschrijdende cyberbeveiligingsrisico’s voor elektriciteit zijn de regels inzake de bescherming van de uitwisseling van informatie van toepassing, overeenkomstig artikel 46. Onverminderd artikel 10, lid 4, en artikel 47, lid 4, publiceren het ENTSB voor elektriciteit en de EU DSB-entiteit een openbare versie van dat verslag, die geen voor de in artikel 2, lid 1, genoemde entiteiten schadelijke informatie bevat. De openbare versie van dit verslag wordt alleen gepubliceerd met de instemming van de NIS-samenwerkingsgroep en de Coördinatiegroep voor elektriciteit. Het ENTSB voor elektriciteit is, in overleg met de EU DSB-entiteit, verantwoordelijk voor het opstellen en publiceren van de openbare versie van het verslag.

1.   Iedere bevoegde instantie stelt, aan de hand van de ECII en de drempels voor zeer belangrijke impact of voor kritieke impact in het Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s overeenkomstig artikel 19, lid 3, punt b), vast welke entiteiten met zeer belangrijke impact of met kritieke impact in haar lidstaat betrokken zijn bij de Uniebrede processen met zeer belangrijke impact of met kritieke impact. De bevoegde instanties kunnen een entiteit in hun lidstaat om informatie verzoeken om de ECII-waarden voor die entiteit te bepalen. Indien de vastgestelde ECII van een entiteit boven de drempel voor zeer belangrijke impact of voor kritieke impact ligt, wordt de aangemerkte entiteit vermeld in het in artikel 20, lid 2, bedoelde beoordelingsverslag over cyberbeveiligingsrisico’s op lidstaatniveau.

2.   Iedere bevoegde instantie stelt, aan de hand van de ECII en de drempels voor zeer belangrijke impact of voor kritieke impact in het Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s overeenkomstig artikel 19, lid 3, punt b), vast welke entiteiten met zeer belangrijke impact of met kritieke impact, voor zover zij in de Unie actief zijn, niet in de Unie gevestigd zijn. De bevoegde instantie kan een niet in de Unie gevestigde entiteit om informatie verzoeken om de ECII-waarden voor die entiteit te bepalen.

3.   Iedere bevoegde instantie kan aanvullende entiteiten in haar lidstaat aanmerken als entiteiten met zeer belangrijke impact of met kritieke impact indien aan de volgende criteria is voldaan:

4.   Indien een bevoegde instantie overeenkomstig lid 3 aanvullende entiteiten aanmerkt, worden alle processen bij deze entiteiten waarvoor de voor de groep geaggregeerde ECII boven de drempel voor zeer belangrijke impact ligt, beschouwd als processen met zeer belangrijke impact, en worden alle processen bij deze entiteiten waarvoor de voor de groep geaggregeerde ECII de drempels voor kritieke impact overschrijden, beschouwd als processen met kritieke impact.

5.   Indien een bevoegde instantie in meer dan één lidstaat entiteiten als bedoeld in lid 3, punt a), aanmerkt, stelt zij de andere bevoegde instanties, het ENTSB voor elektriciteit en de EU DSB-entiteit daarvan in kennis. Het ENTSB voor elektriciteit verstrekt, in samenwerking met de EU DSB-entiteit, op basis van de van alle bevoegde instanties ontvangen informatie, aan de bevoegde instanties een analyse van de aggregatie van entiteiten in meer dan één lidstaat die een gedistribueerde verstoring van de grensoverschrijdende elektriciteitsstromen kan veroorzaken en tot een cyberaanval kan leiden. Indien een groep entiteiten in verscheidene lidstaten wordt aangemerkt als een aggregatie waarvan de ECII hoger is dan de drempel voor zeer belangrijke impact of met kritieke impact, merken alle betrokken bevoegde instanties de entiteiten in die groep aan als entiteiten met zeer belangrijke impact of voor kritieke impact voor hun respectieve lidstaat, op basis van de geaggregeerde ECII voor de groep entiteiten, en worden de aangemerkte entiteiten in het Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s opgenomen.

6.   Binnen negen maanden nadat zij door het ENTSB voor elektriciteit en de EU DSB-entiteit in kennis zijn gesteld van het Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s overeenkomstig artikel 19, lid 5, en in ieder geval uiterlijk 13 juni 2028, stelt iedere bevoegde instantie de entiteiten op de lijst ervan in kennis dat zij in haar lidstaat zijn aangemerkt als entiteit met zeer belangrijke impact of entiteit met kritieke impact.

7.   Indien een dienstverlener bij een bevoegde instantie wordt aangemeld als aanbieder van kritieke ICT-diensten overeenkomstig artikel 27, punt c), stelt die bevoegde instantie de bevoegde instanties van de lidstaten op wier grondgebied diens zetel of vertegenwoordiger is gevestigd, daarvan in kennis. De laatstgenoemde bevoegde instantie stelt de dienstverlener ervan in kennis dat hij als aanbieder van kritieke diensten is aangemerkt.

1.   De bevoegde instanties kunnen een nationale verificatieregeling opzetten om na te gaan of de overeenkomstig artikel 24, lid 1, aangemerkte entiteiten met kritieke impact uitvoering hebben gegeven aan het nationale wetgevingskader, zoals opgenomen in de verwijzingsmatrix in de zin van artikel 34. De nationale verificatieregeling kan gebaseerd zijn op een inspectie door de bevoegde instantie, op onafhankelijke veiligheidsaudits of op wederzijdse collegiale toetsingen door entiteiten met kritieke impact in dezelfde lidstaat onder toezicht van de bevoegde instantie.

2.   Indien een bevoegde instantie besluit een nationaal verificatiesysteem op te zetten, zorgt die bevoegde instantie ervoor dat de verificatie wordt uitgevoerd aan de hand van de volgende vereisten:

3.   Indien een bevoegde instantie besluit een nationale verificatieregeling op te zetten, brengt zij jaarlijks verslag uit aan ACER over de frequentie waarmee zij inspecties in het kader van die regeling heeft uitgevoerd.

1.   Iedere door de bevoegde instanties overeenkomstig artikel 24, lid 1, aangemerkte entiteit met zeer belangrijke impact of met kritieke impact voert cyberbeveiligingsrisicobeheer uit voor al haar activa in haar perimeter van zeer belangrijke impact of van kritieke impact. Iedere entiteit met zeer belangrijke impact of met kritieke impact voert om de drie jaar risicobeheer uit dat de fasen van lid 2 omvat.

2.   Iedere entiteit met zeer belangrijke impact of met kritieke impact baseert haar cyberbeveiligingsrisicobeheer op een aanpak die gericht is op de bescherming van haar netwerk- en informatiesystemen en de volgende fasen omvat:

3.   Tijdens de contextbepalingsfase moet iedere entiteit met zeer belangrijke impact of met kritieke impact:

4.   Tijdens de cyberbeveiligingsrisicobeoordelingsfase moet iedere entiteit met zeer belangrijke impact of met kritieke impact:

5.   Tijdens de fase van de behandeling van cyberbeveiligingsrisico’s stelt iedere entiteit met zeer belangrijke impact of met kritieke impact een risicobeperkingsplan op entiteitsniveau op door de risicobehandelingsopties te selecteren die geschikt zijn om de risico’s te beheren en de resterende risico’s vast te stellen.

6.   Tijdens de fase van de aanvaarding van cyberbeveiligingsrisico’s beslist iedere entiteit met zeer belangrijke impact of met kritieke impact of zij het resterende risico aanvaardt op basis van de in lid 3, punt b), vastgestelde risicoaanvaardingscriteria.

7.   Iedere entiteit met zeer belangrijke impact of met kritieke impact registreert de in lid 1 in kaart gebrachte activa in een activa-inventaris. Die activa-inventaris maakt geen deel uit van het risicobeoordelingsverslag.

8.   De bevoegde instantie kan de in die inventaris opgenomen activa tijdens inspecties onderzoeken.

1.   Het gemeenschappelijke cyberbeveiligingskader voor elektriciteit bestaat uit de volgende controles en het volgende cyberbeveiligingsbeheersysteem:

2.   Alle entiteiten met zeer belangrijke impact passen de minimale cyberbeveiligingscontroles krachtens lid 1, punt a), toe binnen hun perimeters van zeer belangrijke impact.

3.   Alle entiteiten met kritieke impact passen de geavanceerde cyberbeveiligingscontroles krachtens lid 1, punt b), toe binnen hun perimeters van kritieke impact.

4.   Binnen zeven maanden na de indiening van het eerste ontwerp van Uniebreed beoordelingsverslag over cyberbeveiligingsrisico’s overeenkomstig artikel 19, lid 4, wordt het in lid 1 bedoelde gemeenschappelijke cyberbeveiligingskader voor elektriciteit aangevuld met de overeenkomstig artikel 33 ontwikkelde minimale en geavanceerde cyberbeveiligingscontroles in de toeleveringsketen.

1.   Binnen zeven maanden na de indiening van het eerste ontwerp van Uniebreed risicobeoordelingsverslag inzake cyberbeveiliging overeenkomstig artikel 19, lid 4, ontwikkelen de TSB’s, met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit, een voorstel voor minimale en geavanceerde cyberbeveiligingscontroles.

2.   Binnen zes maanden na de opstelling van een regionaal risicobeoordelingsverslag inzake cyberbeveiliging overeenkomstig artikel 21, lid 2, stellen de TSB’s, met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit, aan de bevoegde instantie een wijziging van de minimale en geavanceerde cyberbeveiligingscontroles voor. Het voorstel wordt gedaan overeenkomstig artikel 8, lid 10, en neemt de in de regionale risicobeoordeling aangeduide risico’s in aanmerking.

3.   De minimale en geavanceerde cyberbeveiligingscontroles zijn verifieerbaar door middel van deelname aan een nationale verificatieregeling overeenkomstig de procedure van artikel 31, of door middel van door een derde overeenkomstig artikel 25, lid 2, uitgevoerde onafhankelijke veiligheidsaudits.

4.   De overeenkomstig lid 1 ontwikkelde initiële minimale en geavanceerde cyberbeveiligingscontroles zijn gebaseerd op de risico’s die zijn vastgesteld in het in artikel 19, lid 5, bedoelde Uniebrede risicobeoordelingsverslag inzake cyberbeveiliging. De overeenkomstig lid 2 ontwikkelde gewijzigde minimale en geavanceerde cyberbeveiligingscontroles zijn gebaseerd op het in artikel 21, lid 2, bedoelde regionale risicobeoordelingsverslag inzake cyberbeveiliging.

5.   De minimale cyberbeveiligingscontroles omvatten controles om uitgewisselde informatie te beschermen overeenkomstig artikel 46.

6.   Binnen twaalf maanden na de goedkeuring van de minimale en geavanceerde cyberbeveiligingscontroles overeenkomstig artikel 8, lid 5, en na een actualisering overeenkomstig artikel 8, lid 10, passen de entiteiten die in artikel 2, lid 1, zijn genoemd en die overeenkomstig artikel 24 als entiteiten met zeer belangrijke impact of entiteit met kritieke impact zijn aangemerkt, tijdens de opstelling van het risicobeperkingsplan op entiteitsniveau overeenkomstig artikel 26, lid 5, de minimale cyberbeveiligingscontroles binnen de perimeter van zeer belangrijke impact, en de geavanceerde cyberbeveiligingscontroles binnen de perimeter van kritieke impact toe.

1.   De in artikel 2, lid 1, genoemde entiteiten kunnen de respectieve bevoegde instantie verzoeken een afwijking toe te kennen van de verplichting om de in artikel 29, lid 6, bedoelde minimale en geavanceerde cyberbeveiligingscontroles toe te passen. De bevoegde instantie kan een zodanige afwijking toestaan op een van de volgende gronden:

2.   Binnen drie maanden na ontvangst van het in lid 1 bedoelde verzoek besluit de bevoegde instantie of een afwijking van de minimale en geavanceerde cyberbeveiligingscontroles wordt toegekend. Afwijkingen van de minimale of geavanceerde cyberbeveiligingscontroles worden toegekend voor maximaal drie jaar, met de mogelijkheid van verlenging.

3.   Geaggregeerde en geanonimiseerde informatie voor de toegekende afwijkingen wordt opgenomen als bijlage bij het in artikel 23 bedoelde uitgebreide beoordelingsverslag over grensoverschrijdende cyberbeveiligingsrisico’s voor elektriciteit. Het ENTSB voor elektriciteit en de EU DSB-entiteit werken de lijst, indien nodig, gezamenlijk bij.

1.   Uiterlijk 24 maanden na de vaststelling van de in artikel 28, lid 1, punten a), b) en c), bedoelde controles en het opzetten van het in punt d) van dat artikel bedoelde cyberbeveiligingsbeheersysteem kan iedere overeenkomstig artikel 24, lid 1, aangemerkte entiteit met kritieke impact op verzoek van de bevoegde instantie aantonen dat zij het cyberbeveiligingsbeheersysteem en de minimale of geavanceerde cyberbeveiligingscontroles in acht neemt.

2.   Iedere entiteit met kritieke impact voldoet aan de in lid 1 bedoelde verplichting door middel van door een derde uitgevoerde onafhankelijke veiligheidsaudits overeenkomstig artikel 25, lid 2, of door middel van deelname aan een nationale verificatieregeling overeenkomstig artikel 25, lid 1.

3.   Het verifiëren of een entiteit met kritieke impact het cyberbeveiligingsbeheersysteem en de minimale of geavanceerde cyberbeveiligingscontroles in acht neemt, omvat alle activa binnen de perimeter van kritieke impact van de entiteit met kritieke impact.

4.   Het verifiëren of een entiteit met kritieke impact het cyberbeveiligingsbeheersysteem en de minimale of geavanceerde cyberbeveiligingscontroles in acht neemt, wordt regelmatig herhaald, uiterlijk 36 maanden na het einde van de eerste verificatie, en vervolgens om de drie jaar.

5.   Iedere overeenkomstig artikel 24 bedoelde entiteit met kritieke impact toont aan dat zij de in artikel 28, lid 1, punten a), b) en c), bedoelde controles en het opzetten van het in punt d) van dat lid bedoelde cyberbeveiligingsbeheersysteem naleeft, door middel van een verslag aan de bevoegde instantie over het resultaat van de nalevingsverificatie.

1.   Binnen 24 maanden nadat een entiteit door de bevoegde instantie ervan in kennis is gesteld dat zij overeenkomstig artikel 24, lid 6, als entiteit met zeer belangrijke impact of met kritieke impact is aangemerkt, zet iedere entiteit met zeer belangrijke impact of met kritieke impact een cyberbeveiligingsbeheersysteem op en evalueert dat vervolgens om de drie jaar, om:

2.   Het toepassingsgebied van het cyberbeveiligingsbeheersysteem omvat alle activa binnen de perimeter van zeer belangrijke impact of van kritieke impact van de entiteit met zeer belangrijke impact of met kritieke impact.

3.   Zonder een bepaald type technologie op te leggen of te bevoordelen, moedigen de bevoegde instanties het gebruik aan van Europese of internationale normen en specificaties met betrekking tot beheersystemen en die van belang zijn voor de beveiliging van netwerk- en informatiesystemen.

1.   Binnen zeven maanden na de indiening van het eerste ontwerp van Uniebreed beoordelingsverslag over cyberbeveiligingsrisico’s overeenkomstig artikel 19, lid 4, ontwikkelen de TSB’s, met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit, een voorstel voor minimale en geavanceerde cyberbeveiligingscontroles in de toeleveringsketen die de in het Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s aangemerkte risico’s in de toeleveringsketen mitigeren, ter aanvulling van de overeenkomstig artikel 29 ontwikkelde minimale en geavanceerde cyberbeveiligingscontroles. De minimale en geavanceerde cyberbeveiligingscontroles in de toeleveringsketen worden samen met de minimale en geavanceerde cyberbeveiligingscontroles overeenkomstig artikel 29 ontwikkeld. De minimale en geavanceerde cyberbeveiligingscontroles in de toeleveringsketen hebben betrekking op de gehele levenscyclus van alle ICT-producten, -diensten en -processen binnen de perimeter van zeer belangrijke impact of van kritieke impact van een entiteit met zeer belangrijke impact of met kritieke impact. De NIS-samenwerkingsgroep wordt geraadpleegd bij de ontwikkeling van het voorstel voor minimale en geavanceerde cyberbeveiligingscontroles in de toeleveringsketen.

2.   De minimale cyberbeveiligingscontroles in de toeleveringsketen bestaan uit controles voor entiteiten met zeer belangrijke impact of met kritieke impact die:

3.   Voor de cyberbeveiligingsspecificaties in de in lid 2, punt a), bedoelde aanbeveling voor aanbestedingen op het gebied van cyberbeveiliging gebruiken entiteiten met zeer belangrijke impact of met kritieke impact overeenkomstig artikel 35, lid 4, de aanbestedingsbeginselen conform Richtlijn 2014/24/EU van het Europees Parlement en de Raad (19), of stellen zij hun eigen specificaties vast op basis van de resultaten van de cyberbeveiligingsrisicobeoordeling op entiteitsniveau.

4.   De geavanceerde cyberbeveiligingscontroles in de toeleveringsketen omvatten controles voor entiteiten met kritieke impact om tijdens aanbestedingen na te gaan of ICT-producten, -diensten en -processen die als activa met kritieke impact zullen dienstdoen, aan de cyberbeveiligingsspecificaties voldoen. Het ICT-product, de ICT-dienst of het ICT-proces wordt geverifieerd door middel van een in artikel 31 bedoelde Europese cyberbeveiligingscertificeringsregeling of door middel van door de entiteit geselecteerde en georganiseerde verificatieactiviteiten. De omvang en de dekking van de verificatieactiviteiten moet voldoende zijn om de zekerheid te bieden dat het ICT-product, de ICT-dienst of het ICT-proces kan worden gebruikt om de bij de risicobeoordeling op entiteitsniveau vastgestelde risico’s te mitigeren. De entiteit met kritieke impact documenteert de stappen ter beperking van de vastgestelde risico’s.

5.   De minimale en geavanceerde cyberbeveiligingscontroles in de toeleveringsketen zijn van toepassing op de aanschaf van relevante ICT-producten, -diensten en -processen. De minimale en geavanceerde cyberbeveiligingscontroles in de toeleveringsketen zijn van toepassing op aanbestedingsprocedures in de entiteiten die overeenkomstig artikel 24 als entiteiten met zeer belangrijke impact of met kritieke impact zijn aangemerkt, vanaf zes maanden na de vaststelling of de actualisering van de in artikel 29 bedoelde minimale en geavanceerde cyberbeveiligingscontroles.

6.   Binnen zes maanden na de opstelling van een regionaal risicobeoordelingsverslag inzake cyberbeveiliging overeenkomstig artikel 21, lid 2, stellen de TSB’s, met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit, aan de bevoegde instantie een wijziging van de minimale en geavanceerde cyberbeveiligingscontroles in de toeleveringsketen voor. Het voorstel wordt gedaan overeenkomstig artikel 8, lid 10, en neemt de in de regionale risicobeoordeling aangeduide risico’s in aanmerking.

1.   Binnen zeven maanden na de indiening van het eerste ontwerp van Uniebreed beoordelingsverslag over cyberbeveiligingsrisico’s overeenkomstig artikel 19, lid 4, ontwikkelen de TSB’s, met de hulp van het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit en in overleg met Enisa, een voorstel voor een matrix om de in artikel 28, lid 1, punten a) en b), bedoelde controles af te zetten tegen geselecteerde Europese en internationale normen en tegen relevante technische specificaties (“de verwijzingsmatrix”). Het ENTSB voor elektriciteit en de EU DSB-entiteit documenteren de mate van gelijkwaardigheid van de verschillende controles aan de hand van de in artikel 28, lid 1, punten a) en b), omschreven controles.

2.   De bevoegde instanties kunnen voor het ENTSB voor elektriciteit en de EU DSB-entiteit de in artikel 28, lid 1, punten a) en b), bedoelde controles afzetten tegen de desbetreffende nationale wet- of regelgevingskaders, met inbegrip van de relevante nationale normen van de lidstaten overeenkomstig artikel 25 van Richtlijn (EU) 2022/2555. Indien de bevoegde instantie van een lidstaat een dergelijke matrix verstrekt, integreren het ENTSB voor elektriciteit en de EU DSB-entiteit dit nationale overzicht in de verwijzingsmatrix.

3.   Binnen zes maanden na de opstelling van een regionaal risicobeoordelingsverslag inzake cyberbeveiliging overeenkomstig artikel 21, lid 2, stellen de TSB’s, met de hulp van het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit en in overleg met Enisa, aan de bevoegde instantie een wijziging van de verwijzingsmatrix voor. Het voorstel wordt gedaan overeenkomstig artikel 8, lid 10, en neemt de in de regionale risicobeoordeling aangeduide risico’s in aanmerking.

1.   In een werkprogramma dat steeds na de goedkeuring van een regionaal risicobeoordelingsverslag inzake cyberbeveiliging wordt opgesteld en geactualiseerd, ontwikkelen de TSB’s, met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit, niet-bindende aanbevelingen voor aanbestedingen op het gebied van cyberbeveiliging die entiteiten met zeer belangrijke impact of met kritieke impact kunnen gebruiken als basis voor de aanbesteding van ICT-producten, -diensten en -processen binnen de perimeters van zeer belangrijke impact of kritieke impact. Dit programma omvat:

2.   Het ENTSB voor elektriciteit verstrekt, in samenwerking met de EU DSB-entiteit, aan ACER binnen zes maanden na de vaststelling of actualisering van het regionale beoordelingsverslag over cyberbeveiligingsrisico’s een samenvatting van dat werkprogramma.

3.   De TSB’s streven er, met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit, naar dat tussen de systeembeheersregio’s gebruik wordt gemaakt van dezelfde of vergelijkbare niet-bindende aanbevelingen voor aanbestedingen op het gebied van cyberbeveiliging, opgesteld op basis van de relevante regionale beoordelingsverslagen over cyberbeveiligingsrisico’s. De aanbevelingen voor aanbestedingen op het gebied van cyberbeveiliging omvatten ten minste de in artikel 33, lid 2, punt a), bedoelde specificaties. Indien mogelijk worden de specificaties uit Europese en internationale normen gekozen.

4.   Met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit, waarborgen de TSB’s dat deze aanbevelingen voor aanbestedingen op het gebied van cyberbeveiliging:

1.   De overeenkomstig artikel 35 opgestelde niet-bindende aanbevelingen voor aanbestedingen op het gebied van cyberbeveiliging kunnen sectorspecifieke richtsnoeren inzake het gebruik van Europese cyberbeveiligingscertificeringsregelingen bevatten, als een geschikte regeling beschikbaar is voor een type ICT-product, -dienst of -proces dat door entiteiten met kritieke impact wordt gebruikt, onverminderd het kader voor de vaststelling van Europese cyberbeveiligingscertificeringsregelingen overeenkomstig artikel 46 van Verordening (EU) 2019/881.

2.   De TSB’s werken, met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit, nauw samen met Enisa bij het verstrekken van sectorspecifieke richtsnoeren die overeenkomstig lid 1 in niet-bindende aanbevelingen voor aanbestedingen op het gebied van cyberbeveiliging zijn opgenomen.

1.   Met betrekking tot ontvangen informatie over een te melden cyberaanval, zal de bevoegde instantie:

2.   Met betrekking tot kennis van een actief uitgebuite nog niet verholpen kwetsbaarheid, zal een CSIRT:

3.   Met betrekking tot kennis van een actief uitgebuite nog niet verholpen kwetsbaarheid, zal een bevoegde instantie:

4.   Indien de bevoegde instantie kennis krijgt van een nog niet verholpen kwetsbaarheid, zonder dat er aanwijzingen zijn dat die al actief wordt uitgebuit, werkt zij onverwijld met het CSIRT met het oog op de gecoördineerde bekendmaking van kwetsbaarheden als bedoeld in artikel 12, lid 1, van Richtlijn (EU) 2022/2555.

5.   Indien een CSIRT informatie over cyberdreigingen ontvangt van een of meer entiteiten met zeer belangrijke impact of met kritieke impact overeenkomstig artikel 38, lid 6, verspreidt het team die informatie of alle andere informatie die van belang is voor het voorkomen, opsporen, reageren op of beperken van het gerelateerde risico voor entiteiten met zeer belangrijke impact of met kritieke impact in zijn lidstaat en, in voorkomend geval, onverwijld en uiterlijk vier uur na ontvangst van de informatie onder alle betrokken CSIRT’s en zijn nationale centrale contactpunt.

6.   Indien een bevoegde instantie van een of meer entiteiten met zeer belangrijke impact of met kritieke impact kennis krijgt van informatie met betrekking tot cyberdreigingen, stuurt zij die informatie door naar het CSIRT voor de toepassing van lid 5.

7.   Na overeenstemming tussen de betrokken bevoegde instanties kunnen zij de verantwoordelijkheden uit hoofde van de leden 3 en 4 met betrekking tot een of meer entiteiten met zeer belangrijke impact of met kritieke impact die in meer dan een lidstaat actief zijn, geheel of gedeeltelijk delegeren aan een andere bevoegde instantie in een van die lidstaten.

8.   De TSB’s ontwikkelen, met de hulp van het ENTSB voor elektriciteit en in samenwerking met de EU DSB-entiteit, uiterlijk 13 juni 2025 een methode voor een classificatieschema van cyberaanvallen. De TSB’s kunnen, met de hulp van het ENTSB voor elektriciteit en de EU DSB-entiteit, de bevoegde instanties verzoeken Enisa en hun instanties die bevoegd zijn voor cyberbeveiliging te raadplegen met het oog op bijstand bij de ontwikkeling van een dergelijk classificatieschema. De methode biedt een rangschikking van de ernst van een cyberaanval volgens vijf niveaus, waarbij de twee hoogste niveaus “hoog” en “kritiek” zijn. De rangschikking wordt gebaseerd op een beoordeling van de volgende parameters:

9.   Uiterlijk 13 juni 2026 voert het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit, een haalbaarheidsstudie uit om de mogelijkheid en de financiële kosten te beoordelen voor de ontwikkeling van een gemeenschappelijk instrument waarmee alle entiteiten informatie kunnen delen met de relevante nationale instanties.

10.   In de haalbaarheidsstudie wordt aandacht besteed aan de mogelijkheid dat een dergelijk gemeenschappelijk instrument:

11.   Het ENTSB voor elektriciteit zal, in samenwerking met de EU DSB-entiteit:

12.   Het ENTSB voor elektriciteit kan, in samenwerking met de EU DSB-entiteit, initiatieven van entiteiten met zeer belangrijke impact of met kritieke impact analyseren en faciliteren om dergelijke instrumenten voor informatie-uitwisseling te beoordelen en te testen.

1.   De entiteiten met zeer belangrijke impact of met kritieke impact:

2.   Enisa kan niet-bindende richtsnoeren uitvaardigen betreffende het vaststellen van dergelijke capaciteiten of het uitbesteden van de dienst aan aanbieders van beheerde beveiligingsdiensten, als onderdeel van de in artikel 6, lid 2, van Verordening (EU) 2019/881 omschreven taak.

3.   Onverwijld en uiterlijk vier uur nadat zij zich ervan bewust is geworden dat het incident moet worden gemeld, deelt een entiteit met zeer belangrijke impact of met kritieke impact de relevante informatie met betrekking tot een te melden cyberaanval met haar CSIRT’s en met haar bevoegde instantie.

4.   Informatie met betrekking tot een cyberaanval wordt geacht gemeld te worden indien de cyberaanval door de getroffen entiteit wordt beoordeeld met het niveau “hoog” of “kritiek” overeenkomstig de methode voor een classificatieschema van cyberaanvallen van artikel 37, lid 8. Het overeenkomstig lid 1, punt c), aangewezen centrale contactpunt op entiteitsniveau deelt de classificatie van incidenten mee.

5.   Indien entiteiten met zeer belangrijke impact of met kritieke impact relevante informatie met betrekking tot actief uitgebuite nog niet verholpen kwetsbaarheden aan een CSIRT melden, kan het CSIRT die informatie doorgeven aan zijn bevoegde instantie. Afhankelijk van de gevoeligheid van de gemelde informatie kan het CSIRT om gegronde cyberbeveiligingsoverwegingen de informatie onder zich houden of de toezending ervan uitstellen.

6.   Iedere entiteit met zeer belangrijke impact of met kritieke impact verstrekt haar CSIRT’s onverwijld alle informatie met betrekking tot een te melden cyberdreiging die een grensoverschrijdend effect kan hebben. Informatie met betrekking tot een cyberdreiging wordt geacht gemeld te worden indien aan ten minste een van de volgende voorwaarden is voldaan:

7.   Iedere entiteit met zeer belangrijke impact of met kritieke impact specificeert bij het delen van informatie op grond van dit artikel het volgende:

8.   Indien een entiteit met zeer belangrijke impact of met kritieke impact een significant incident meldt overeenkomstig artikel 23 van Richtlijn (EU) 2022/2555 en de melding van incidenten uit hoofde van dat artikel relevante informatie bevat zoals vereist krachtens lid 3 van dit artikel, geldt de rapportage van de entiteit krachtens artikel 23, lid 1, van die richtlijn als rapportage van informatie krachtens lid 3 van dit artikel.

9.   Iedere entiteit met zeer belangrijke impact of met kritieke impact brengt verslag uit aan haar bevoegde instantie of het CSIRT door duidelijk aan te geven welke specifieke informatie alleen met de bevoegde instantie of het CSIRT mag worden gedeeld, in gevallen waarin de informatie-uitwisseling een bron van een cyberaanval zou kunnen zijn. Iedere entiteit met zeer belangrijke impact of met kritieke impact mag een niet-vertrouwelijke versie van de informatie aan het bevoegde CSIRT verstrekken.

1.   Entiteiten met zeer belangrijke impact of met kritieke impact ontwikkelen de nodige capaciteiten om gedetecteerde cyberaanvallen aan te pakken, met de benodigde steun van de betrokken bevoegde instantie, het ENTSB voor elektriciteit en de EU DSB-entiteit. De entiteiten met zeer belangrijke impact of met kritieke impact kunnen worden ondersteund door het CSIRT dat in hun respectieve lidstaat is aangewezen als onderdeel van de bij artikel 11, lid 5, punt a), van Richtlijn (EU) 2022/2555 aan de CSIRT’s toegewezen taak. Entiteiten met zeer belangrijke impact of met kritieke impact voeren doeltreffende processen in om cyberaanvallen die gevolgen zullen of kunnen hebben voor grensoverschrijdende elektriciteitsstromen in kaart te brengen, te classificeren en erop te reageren, om de gevolgen tot een minimum te beperken.

2.   Indien een cyberaanval gevolgen heeft voor grensoverschrijdende elektriciteitsstromen, werken de centrale contactpunten op entiteitsniveau van getroffen entiteiten met zeer belangrijke impact of met kritieke impact samen om informatie uit te wisselen, onder de coördinatie van de bevoegde instantie van de lidstaat waar de cyberaanval voor het eerst is gemeld.

3.   Entiteiten met zeer belangrijke impact of met kritieke impact:

4.   De in lid 1 bedoelde werkzaamheden kunnen door de lidstaten ook aan de regionale coördinatiecentra worden gedelegeerd overeenkomstig artikel 37, lid 2, van Verordening (EU) 2019/943.

1.   Indien de bevoegde instantie vaststelt dat een elektriciteitscrisis verband houdt met een cyberaanval met gevolgen voor meer dan één lidstaat, richten de bevoegde instanties van de getroffen lidstaten, de CS-NCA’s, de RP-NCA en de NIS-cybercrisisbeheerautoriteiten van de getroffen lidstaten gezamenlijk een ad-hocgroep voor grensoverschrijdende crisiscoördinatie op.

2.   De ad-hocgroep voor grensoverschrijdende crisiscoördinatie:

3.   Indien de cyberaanval wordt aangemerkt, of naar verwachting zal worden aangemerkt als een grootschalig cyberbeveiligingsincident, stelt de ad-hocgroep voor grensoverschrijdende crisiscoördinatie de nationale cybercrisisbeheerautoriteiten overeenkomstig artikel 9, lid 1, van Richtlijn (EU) 2022/2555 in de door het incident getroffen lidstaten, evenals de Commissie en EU-CyCLONe onmiddellijk daarvan in kennis. In een dergelijke situatie ondersteunt de ad-hocgroep voor grensoverschrijdende crisiscoördinatie EU-CyCLONe met betrekking tot sectorspecifieke kenmerken.

4.   Entiteiten met zeer belangrijke impact of met kritieke impact ontwikkelen en beschikken over capaciteit, interne richtsnoeren, paraatheidsplannen en personeel om deel te nemen aan het opsporen en beperken van grensoverschrijdende crises. De entiteit met zeer belangrijke impact of met kritieke impact die door een gelijktijdige elektriciteitscrisis wordt getroffen, onderzoekt de onderliggende oorzaak van een dergelijke crisis in samenwerking met haar bevoegde instantie om te bepalen in hoeverre de crisis verband houdt met een cyberaanval.

5.   De in lid 4 bedoelde werkzaamheden kunnen door de lidstaten ook aan de regionale coördinatiecentra worden gedelegeerd overeenkomstig artikel 37, lid 2, van Verordening (EU) 2019/943.

1.   Binnen 24 maanden na de kennisgeving aan ACER van het Uniebrede beoordelingsverslag over cyberbeveiligingsrisico’s ontwikkelt ACER, in nauwe samenwerking met Enisa, het ENTSB voor elektriciteit, de EU DSB-entiteit, de CS-NCA’s, de bevoegde instanties, de RP-NCA’s, de NRI’s en de nationale NIS-cybercrisisbeheerautoriteiten, een crisisbeheer- en -responsplan op het gebied van cyberbeveiliging op Unieniveau voor de elektriciteitssector.

2.   Binnen twaalf maanden na de opstelling door ACER van het crisisbeheer- en -responsplan op het gebied van cyberbeveiliging op Unieniveau voor de elektriciteitssector overeenkomstig lid 1 ontwikkelt iedere bevoegde instantie een nationaal crisisbeheer- en -responsplan op het gebied van cyberbeveiliging op Unieniveau voor grensoverschrijdende elektriciteitsstromen, met inachtneming van het crisisbeheerplan op het gebied van cyberbeveiliging op Unieniveau en het overeenkomstig artikel 10 van Verordening (EU) 2019/941 opgestelde nationale risicoparaatheidsplan. Dit plan is in overeenstemming met het plan voor grootschalige cyberbeveiligingsincidenten en crisisrespons overeenkomstig artikel 9, lid 4, van Richtlijn (EU) 2022/2555. De bevoegde instantie zorgt voor coördinatie met de entiteiten met zeer belangrijke impact of met kritieke impact en met de RP-NCA in haar lidstaat.

3.   Het krachtens artikel 9, lid 4, van Richtlijn (EU) 2022/2555 vereiste nationale plan voor grootschalige cyberbeveiligingsincidenten en crisisrespons wordt beschouwd als een nationaal crisisbeheerplan op het gebied van cyberbeveiliging uit hoofde van dit artikel indien het bepalingen inzake crisisbeheer- en -respons voor grensoverschrijdende elektriciteitsstromen bevat.

4.   De in de leden 1 en 2 bedoelde werkzaamheden kunnen door de lidstaten ook aan de regionale coördinatiecentra worden gedelegeerd overeenkomstig artikel 37, lid 2, van Verordening (EU) 2019/943.

5.   Entiteiten met zeer belangrijke impact of met kritieke impact waarborgen dat hun crisisbeheerprocessen op het gebied van cyberbeveiliging:

6.   Binnen twaalf maanden na de kennisgeving van de entiteiten met zeer belangrijke impact of met kritieke impact overeenkomstig artikel 24, lid 6, en vervolgens om de drie jaar, ontwikkelen entiteiten met zeer belangrijke impact of met kritieke impact een crisisbeheerplan op entiteitsniveau voor cyberbeveiligingscrises, dat in hun algemene crisisbeheerplannen wordt opgenomen. Dit bevat ten minste de volgende gegevens:

7.   De maatregelen voor crisisbeheer overeenkomstig artikel 21, lid 2, punt c), van Richtlijn (EU) 2022/2555 worden beschouwd als een crisisbeheerplan op entiteitsniveau voor de elektriciteitssector uit hoofde van dit artikel indien het alle in lid 6 genoemde vereisten omvat.

8.   De crisisbeheerplannen worden getest tijdens de in de artikelen 43, 44 en 45 bedoelde cyberbeveiligingsoefeningen.

9.   De entiteiten met zeer belangrijke impact of met kritieke impact nemen hun crisisbeheerplannen op entiteitsniveau op in hun bedrijfscontinuïteitsplannen voor de processen met zeer belangrijke impact of met kritieke impact. De crisisbeheerplannen op entiteitsniveau omvatten:

10.   De entiteiten met zeer belangrijke impact of met kritieke impact actualiseren hun crisisbeheerplannen op entiteitsniveau ten minste om de drie jaar en als dat nodig is.

11.   ACER actualiseert het overeenkomstig lid 1 opgestelde crisisbeheer- en -responsplan op het gebied van cyberbeveiliging op Unieniveau voor de elektriciteitssector ten minste om de drie jaar en als dat nodig is.

12.   Iedere bevoegde instantie actualiseert de overeenkomstig lid 2 opgestelde nationale crisisbeheer- en -responsplannen op het gebied van cyberbeveiliging voor grensoverschrijdende elektriciteitsstromen ten minste om de drie jaar en als dat nodig is.

13.   De entiteiten met zeer belangrijke impact of met kritieke impact testen hun bedrijfscontinuïteitsplannen ten minste om de drie jaar of na grote veranderingen in een proces met kritieke impact. Het resultaat van de testen van het bedrijfscontinuïteitsplan wordt gedocumenteerd. Entiteiten met zeer belangrijke impact of met kritieke impact kunnen de test van hun bedrijfscontinuïteitsplan in de cyberbeveiligingsoefeningen opnemen.

14.   De entiteiten met zeer belangrijke impact of met kritieke impact actualiseren hun bedrijfscontinuïteitsplan als dat nodig is en ten minste om de drie jaar, met inachtneming van het resultaat van de test.

15.   Indien bij een test tekortkomingen in het bedrijfscontinuïteitsplan worden vastgesteld, corrigeert de entiteit met zeer belangrijke impact of met kritieke impact deze tekortkomingen binnen 180 kalenderdagen na de test en voert zij een nieuwe test uit om aan te tonen dat de corrigerende maatregelen doeltreffend zijn.

16.   Indien een entiteit met zeer belangrijke impact of met kritieke impact de tekortkomingen niet binnen 180 kalenderdagen kan corrigeren, vermeldt zij de redenen daarvoor in het verslag dat overeenkomstig artikel 27 aan haar bevoegde instantie moet worden verstrekt.

1.   De bevoegde instanties werken samen met Enisa om capaciteit voor vroegtijdige waarschuwing op het gebied van cyberbeveiliging voor de elektriciteitssector (“ECEAC”) te ontwikkelen als onderdeel van de ondersteuning van de lidstaten overeenkomstig artikel 6, lid 2, en artikel 7, van Verordening (EU) 2019/881.

2.   De ECEAC stelt Enisa in staat om bij het verrichten van de in artikel 7, lid 7, van Verordening (EU) 2019/881 genoemde werkzaamheden:

3.   De CSIRT’s verspreiden de van Enisa ontvangen informatie onverwijld onder de betrokken entiteiten, binnen hun in artikel 11, lid 3, punt b), van Richtlijn (EU) 2022/2555 omschreven taken.

4.   ACER houdt toezicht op de doeltreffendheid van de ECEAC. Enisa staat ACER bij door alle nodige informatie te verstrekken, overeenkomstig artikel 6, lid 2, en artikel 7, lid 1, van Verordening (EU) 2019/881. De analyse van deze monitoringactiviteit maakt deel uit van het toezicht overeenkomstig artikel 12.

1.   Uiterlijk 31 december van het jaar na de kennisgeving van entiteiten met kritieke impact, en vervolgens om de drie jaar, voert elke entiteit met kritieke impact een cyberbeveiligingsoefening uit, met inbegrip van een of meer scenario’s met cyberaanvallen die rechtstreeks of onrechtstreeks van invloed zijn op grensoverschrijdende elektriciteitsstromen en verband houden met de tijdens de cyberbeveiligingsrisicobeoordelingen op het niveau van de lidstaten en entiteiten overeenkomstig de artikelen 20 en 27 vastgestelde risico’s.

2.   In afwijking van lid 1 kan de RP-NCA, na raadpleging van de bevoegde instantie en de relevante cybercrisisbeheerautoriteit zoals aangewezen of opgericht overeenkomstig artikel 9 van Richtlijn (EU) 2022/2555, besluiten een cyberbeveiligingsoefening op het niveau van de lidstaat te organiseren overeenkomstig lid 1, in plaats van een cyberbeveiligingsoefening op het niveau van de entiteit uit te voeren. Ter zake informeert de bevoegde instantie:

3.   Met de technische ondersteuning van haar CSIRT’s organiseert de RP-NCA, onafhankelijk of in het kader van een andere cyberbeveiligingsoefening in die lidstaat, de in lid 2 beschreven cyberbeveiligingsoefening op het niveau van de lidstaat. Teneinde die oefeningen te kunnen groeperen, kan de RP-NCA de in lid 1 bedoelde cyberbeveiligingsoefening op lidstaatniveau met één jaar uitstellen.

4.   De cyberbeveiligingsoefeningen op het niveau van de entiteit en van de lidstaten zijn in overeenstemming met de nationale kaders voor cyberbeveiligingscrisisbeheer overeenkomstig artikel 9, lid 4, punt d), van Richtlijn (EU) 2022/2555.

5.   Uiterlijk 31 december 2026 en vervolgens om de drie jaar stelt het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit, een oefeningmodel beschikbaar om de in lid 1 bedoelde cyberbeveiligingsoefeningen op het niveau van de entiteit en van de lidstaat te houden. In dit model wordt rekening gehouden met de resultaten van de recentste cyberbeveiligingsrisicobeoordelingen op het niveau van de entiteit en van de lidstaten en worden belangrijke succescriteria opgenomen. Het ENTSB voor elektriciteit en de EU DSB-entiteit betrekken ACER en Enisa bij de ontwikkeling van dit model.

1.   Uiterlijk 31 december 2029 en vervolgens om de drie jaar organiseert het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit, in elke systeembeheersregio een regionale cyberbeveiligingsoefening. De entiteiten met kritieke impact in de systeembeheersregio nemen deel aan de regionale cyberbeveiligingsoefening. Het ENTSB voor elektriciteit kan, in samenwerking met de EU DSB-entiteit, in plaats van een regionale cyberbeveiligingsoefening in hetzelfde tijdsbestek in meer dan één systeembeheersregio een regio-overschrijdende cyberbeveiligingsoefening organiseren. Bij de oefening worden andere bestaande op Unieniveau ontwikkelde cyberbeveiligingsrisicobeoordelingen en -scenario’s in aanmerking genomen.

2.   Enisa ondersteunt het ENTSB voor elektriciteit en de EU DSB-entiteit bij de voorbereiding en de organisatie van de cyberbeveiligingsoefening op regionaal of regio-overschrijdend niveau.

3.   Zes maanden voordat de oefening plaatsvindt, informeert het ENTSB voor elektriciteit, in overleg met de EU DSB-entiteit, de entiteiten met kritieke impact die aan de regionale of regio-overschrijdende cyberbeveiligingsoefening deelnemen.

4.   De organisator van een regelmatige cyberbeveiligingsoefening op Unieniveau overeenkomstig artikel 7, lid 5, van Verordening (EU) 2019/881, of van een verplichte cyberbeveiligingsoefening met betrekking tot de elektriciteitssector binnen dezelfde geografische perimeter, kan het ENTSB voor elektriciteit en de EU DSB-entiteit uitnodigen om deel te nemen. In dergelijke gevallen is de verplichting van lid 1 niet van toepassing, mits alle entiteiten met kritieke impact in de systeembeheersregio aan dezelfde oefening deelnemen.

5.   Indien het ENTSB voor elektriciteit en de EU DSB-entiteit deelnemen aan een in lid 4 bedoelde cyberbeveiligingsoefening, kunnen zij de in lid 1 bedoelde regionale of regio-overschrijdende cyberbeveiligingsoefening met één jaar uitstellen.

6.   Uiterlijk 31 december 2027 en vervolgens om de drie jaar stelt het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit, een oefeningmodel beschikbaar om de regionale of regio-overschrijdende cyberbeveiligingsoefeningen te houden. In dit model wordt rekening gehouden met de resultaten van de recentste cyberbeveiligingsrisicobeoordelingen op het regionaal niveau en worden belangrijke succescriteria opgenomen. Het ENTSB voor elektriciteit raadpleegt de Commissie en kan advies inwinnen bij ACER, Enisa en het Joint Research Centre over de organisatie en de uitvoering van de regionale en regio-overschrijdende cyberbeveiligingsoefeningen.

1.   Op verzoek van een entiteit met kritieke impact nemen aanbieders van kritieke diensten deel aan de in artikel 43, leden 1 en 2, en artikel 44, lid 1, bedoelde cyberbeveiligingsoefeningen als zij diensten verlenen aan de entiteit met kritieke impact op een gebied dat binnen het toepassingsgebied van de betreffende cyberbeveiligingsoefening valt.

2.   Met het advies van Enisa indien daarom wordt verzocht overeenkomstig artikel 7, lid 5, van Verordening (EU) 2019/881, analyseren en voltooien de organisatoren van de in artikel 43, leden 1 en 2, en artikel 44, lid 1, bedoelde cyberbeveiligingsoefeningen de desbetreffende cyberbeveiligingsoefening door middel van een aan alle deelnemers gericht verslag met een samenvatting van de lessen. Dat verslag bevat:

3.   Op verzoek van het CSIRT-netwerk, de NIS-samenwerkingsgroep of EU-CyCLONe delen de organisatoren van de in artikel 43, leden 1 en 2, en artikel 44, lid 1, bedoelde cyberbeveiligingsoefeningen het resultaat van de desbetreffende cyberbeveiligingsoefening. De organisatoren delen de in lid 2, punten a) en b), bedoelde informatie met alle aan de oefeningen deelnemende entiteiten. De organisatoren delen de in lid 2, punt c), bedoelde lijst van aanbevelingen uitsluitend met de in de aanbevelingen genoemde entiteiten.

4.   De organisatoren van de in artikel 43, leden 1 en 2, en artikel 44, lid 1, bedoelde cyberbeveiligingsoefeningen houden na afloop regelmatig overleg met de aan de oefeningen deelnemende entiteiten over de uitvoering van aanbevelingen uit hoofde van lid 2, punt c).

1.   De in artikel 2, lid 1, genoemde entiteiten waarborgen dat de krachtens deze verordening verstrekte, ontvangen, uitgewisselde of doorgegeven informatie alleen toegankelijk is op “need-to-know”-basis en overeenkomstig de toepasselijke Unie- en nationale voorschriften inzake informatiebeveiliging.

2.   De in artikel 2, lid 1, genoemde entiteiten waarborgen dat de krachtens deze verordening verstrekte, ontvangen, uitgewisselde of doorgegeven informatie gedurende de gehele levenscyclus van die informatie wordt verwerkt en gevolgd en dat deze pas na anonimisering aan het einde van de levenscyclus mag worden vrijgegeven.

3.   De in artikel 2, lid 1, genoemde entiteiten waarborgen dat alle nodige organisatorische en technische beschermingsmaatregelen zijn getroffen om de vertrouwelijkheid, de integriteit, de beschikbaarheid en de onweerlegbaarheid van de krachtens deze verordening verstrekte, ontvangen, uitgewisselde of doorgegeven informatie te waarborgen en te beschermen, onafhankelijk van de gebruikte middelen. De beschermingsmaatregelen:

4.   De in artikel 2, lid 1, genoemde entiteiten waarborgen dat wie toegang wordt verleend tot krachtens deze verordening verstrekte, ontvangen, uitgewisselde of doorgegeven informatie, wordt geïnformeerd over de op entiteitsniveau geldende veiligheidsvoorschriften en de maatregelen en procedures die voor de bescherming van informatie van belang zijn. Die entiteiten waarborgen dat de betrokken persoon de verantwoordelijkheid aanvaardt om de informatie te beschermen volgens de instructies tijdens de briefing.

5.   De in artikel 2, lid 1, genoemde entiteiten waarborgen dat de toegang tot krachtens deze verordening verstrekte, ontvangen, uitgewisselde of doorgegeven informatie beperkt is tot personen:

6.   De in artikel 2, lid 1, genoemde entiteiten hebben schriftelijke toestemming van de natuurlijke of rechtspersoon die de informatie oorspronkelijk heeft opgesteld of verstrekt, alvorens die informatie te verstrekken aan een buiten het toepassingsgebied van deze verordening vallende derde.

7.   Een in artikel 2, lid 1, genoemde entiteit kan van mening zijn dat deze informatie moet worden gedeeld zonder aan de leden 1 en 4 te voldoen, om een gelijktijdige elektriciteitscrisis met een onderliggende oorzaak in cyberbeveiliging of een grensoverschrijdende crisis binnen de Unie in een andere sector te voorkomen. In dat geval zal die entiteit:

8.   In afwijking van lid 6 kunnen de bevoegde instanties krachtens deze verordening verstrekte, ontvangen, uitgewisselde of doorgegeven informatie verstrekken aan een niet in artikel 2, lid 1, genoemde derde zonder schriftelijke voorafgaande toestemming van de opsteller van de informatie, maar de opsteller wordt wel zo spoedig mogelijk daarvan op de hoogte gebracht. Alvorens krachtens deze verordening verstrekte, ontvangen, uitgewisselde of doorgegeven informatie bekend te maken aan een niet in artikel 2, lid 1, genoemde derde, zorgt de betrokken bevoegde instantie er in redelijkheid voor dat de betrokken derde van de geldende veiligheidsvoorschriften op de hoogte is en waarborgt zij met een redelijk niveau van zekerheid dat de betrokken derde de ontvangen informatie kan beschermen overeenkomstig de leden 1 tot en met 5. De bevoegde instantie anonimiseert dergelijke informatie met behoud van de elementen die nodig zijn om het grote publiek te informeren over een dreigend en ernstig risico voor grensoverschrijdende elektriciteitsstromen en mogelijke mitigerende maatregelen, en om de identiteit van de opsteller van de informatie te beschermen. In dat geval beschermt de niet in artikel 2, lid 1, genoemde derde de ontvangen informatie overeenkomstig reeds op entiteitsniveau geldende regels of, indien dit niet mogelijk is, overeenkomstig de regels en instructies van de relevante bevoegde instantie.

9.   Dit artikel is niet van toepassing op niet in artikel 2, lid 1, genoemde entiteiten die overeenkomstig lid 6 informatie ontvangen. In dat geval is lid 7 van toepassing, of kan de bevoegde instantie die entiteit schriftelijke instructies verstrekken die moeten worden toegepast in gevallen waarin overeenkomstig deze verordening informatie is ontvangen.

1.   Alle krachtens deze verordening verstrekte, ontvangen, uitgewisselde of doorgegeven informatie valt onder het in de leden 2 tot en met 5 bedoelde beroepsgeheim en onder artikel 65 van Verordening (EU) 2019/943. Alle informatie die met het oog op de uitvoering van deze verordening is verstrekt, ontvangen, uitgewisseld of doorgegeven tussen de in artikel 2, lid 1, genoemde entiteiten, wordt beschermd, met inachtneming van het vertrouwelijkheidsniveau van de informatie dat door de opsteller is toegepast.

2.   Het beroepsgeheim geldt voor de in artikel 2 genoemde entiteiten.

3.   De CS-NCA’s, de NRI’s, de RP-NCA’s en de CSIRT’s wisselen alle informatie uit die nodig is om hun werkzaamheden te verrichten.

4.   Alle informatie die wordt ontvangen, uitgewisseld of doorgegeven tussen de in artikel 2, lid 1, genoemde entiteiten met het oog op de toepassing van artikel 23, wordt geanonimiseerd en geaggregeerd.

5.   Informatie die beroepshalve is ontvangen door een onder deze verordening vallende entiteit of instantie, mag aan geen enkele andere persoon of instantie worden bekendgemaakt, onverminderd de gevallen die onder de nationale wetgeving, onder deze verordening of onder andere toepasselijke Uniewetgeving vallen.

6.   Onverminderd de nationale of Uniewetgeving mag een instantie, entiteit of natuurlijke persoon die krachtens deze verordening informatie ontvangt, die informatie niet gebruiken voor andere doeleinden dan de uitvoering van haar werkzaamheden uit hoofde van deze verordening.

7.   ACER vaardigt, na raadpleging van Enisa, alle bevoegde instanties, het ENTSB voor elektriciteit en de EU DSB-entiteit uiterlijk 13 juni 2025 richtsnoeren uit met betrekking tot mechanismen voor alle in artikel 2, lid 1, genoemde entiteiten met het oog op de uitwisseling van informatie, en met name geplande communicatiestromen, en methoden om informatie te anonimiseren en te aggregeren met het oog op de uitvoering van dit artikel.

8.   Krachtens Unie- en nationale voorschriften vertrouwelijke informatie wordt alleen met de Commissie en andere bevoegde instanties uitgewisseld indien dat nodig is voor de toepassing van deze verordening. Er wordt uitsluitend informatie uitgewisseld die nodig is voor en evenredig is met het doel van die uitwisseling. Bij de uitwisseling van informatie wordt de vertrouwelijkheid van die informatie gewaarborgd en worden de veiligheids- en commerciële belangen van entiteiten met zeer belangrijke impact of met kritieke impact beschermd.

1.   Tot het moment van de goedkeuring van de in artikel 6, lid 2, bedoelde voorwaarden of methoden of de in artikel 6, lid 3, bedoelde plannen, ontwikkelt het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit, niet-bindende richtsnoeren inzake de volgende kwesties:

2.   Uiterlijk 13 oktober 2024 stelt het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit, een aanbeveling op voor een voorlopige ECII. Het ENTSB voor elektriciteit stelt, in samenwerking met de EU DSB-entiteit, de bevoegde instanties in kennis van de aanbevolen voorlopige ECII.

3.   Vier maanden na ontvangst van de aanbevolen voorlopige ECII, of uiterlijk 13 februari 2025, duiden de bevoegde instanties op basis van de aanbevolen ECII kandidaten voor entiteiten met zeer belangrijke impact of met kritieke impact in hun lidstaat aan en stellen een voorlopige lijst op van entiteiten met zeer belangrijke impact of met kritieke impact. De op de voorlopige lijst opgenomen entiteiten met zeer belangrijke impact of met kritieke impact kunnen op basis van het voorzorgsbeginsel vrijwillig hun verplichtingen krachtens deze verordening nakomen. Uiterlijk 13 maart 2025 stellen de bevoegde instanties de in de voorlopige lijst genoemde entiteiten ervan in kennis dat zij zijn aangemerkt als entiteit met zeer belangrijke impact of met kritieke impact.

4.   Uiterlijk 13 december 2024 stelt het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit, een voorlopige lijst van Uniebrede entiteiten met zeer belangrijke impact of met kritieke impact op. De overeenkomstig lid 3 aangemelde entiteiten die besluiten hun krachtens deze verordening vastgestelde verplichtingen op basis van het voorzorgsbeginsel vrijwillig na te komen, gebruiken de voorlopige lijst van processen met zeer belangrijke impact of met kritieke impact om de voorlopige perimeter van zeer belangrijke impact of van kritieke impact vast te stellen en om te bepalen welke activa in de eerste cyberbeveiligingsrisicobeoordeling op entiteitsniveau moeten worden opgenomen.

5.   Uiterlijk 13 september 2024 verstrekt iedere bevoegde instantie in de zin van artikel 4, lid 1, aan het ENTSB voor elektriciteit en de EU DSB-entiteit een lijst van haar voor de met cyberbeveiliging samenhangende aspecten van grensoverschrijdende elektriciteitsstromen toepasselijke nationale wetgeving.

6.   Uiterlijk 13 juni 2025 stelt het ENTSB voor elektriciteit, in samenwerking met de EU DSB-entiteit, een voorlopige lijst op van Europese en internationale normen en krachtens nationale wetgeving vereiste controles die van belang zijn voor met cyberbeveiliging samenhangende aspecten van grensoverschrijdende elektriciteitsstromen, met inachtneming van de door de bevoegde instanties verstrekte informatie.

7.   De voorlopige lijst van Europese en internationale normen en controles omvat:

8.   Het ENTSB voor elektriciteit en de EU DSB-entiteit nemen bij het opstellen van de voorlopige lijst van normen de standpunten van Enisa en ACER in aanmerking. Het ENTSB voor elektriciteit en de EU DSB-entiteit publiceren de overgangslijst van Europese en internationale normen en controles op hun websites.

9.   Het ENTSB voor elektriciteit en de EU DSB-entiteit raadplegen Enisa en ACER over de voorstellen voor niet-bindende richtsnoeren overeenkomstig lid 1.

10.   Tot het moment dat de minimale en geavanceerde cyberbeveiligingscontroles overeenkomstig artikel 29 zijn ontwikkeld en overeenkomstig artikel 8 zijn vastgesteld, streven de in artikel 2, lid 1, genoemde entiteiten ernaar geleidelijk de overeenkomstig lid 1 ontwikkelde niet-bindende richtsnoeren toe te passen.