(1)   Prezentul regulament se aplică aspectelor legate de securitatea cibernetică a fluxurilor transfrontaliere de energie electrică în cadrul activităților următoarelor entități, dacă acestea sunt identificate ca entități cu impact ridicat sau ca entități cu impact critic în conformitate cu articolul 24:

(2)   Următoarele autorități sunt responsabile, în cadrul mandatelor lor actuale, cu îndeplinirea sarcinilor atribuite prin prezentul regulament:

(3)   Prezentul regulament se aplică, de asemenea, tuturor entităților care nu sunt stabilite în Uniune, dar care furnizează servicii unor entități din Uniune, cu condiția ca acestea să fi fost identificate ca entități cu impact ridicat sau ca entități cu impact critic de către autoritățile competente în conformitate cu articolul 24 alineatul (2).

(4)   Prezentul regulament nu aduce atingere responsabilității statelor membre de a proteja securitatea națională și nici competenței acestora de a proteja alte funcții esențiale ale statului, inclusiv asigurarea integrității teritoriale a statului și menținerea ordinii publice.

(5)   Prezentul regulament nu aduce atingere responsabilității statelor membre de a proteja securitatea națională în ceea ce privește activitățile de producție a energiei electrice în centralele nucleare, inclusiv activitățile din cadrul lanțului valoric nuclear, în conformitate cu tratatele.

(6)   Entitățile, autoritățile competente, punctele unice de contact de la nivelul entităților și echipele CSIRT prelucrează datele cu caracter personal în măsura necesară pentru scopurile prezentului regulament și în conformitate cu Regulamentul (UE) 2016/679; în special această prelucrare se bazează pe articolul 6 din respectivul regulament.

(1)   Cât mai curând posibil și, în orice caz, până la 13 decembrie 2024, fiecare stat membru desemnează o autoritate națională guvernamentală sau de reglementare responsabilă cu îndeplinirea sarcinilor care îi sunt atribuite prin prezentul regulament („autoritate competentă”). Până când autorității competente i se încredințează îndeplinirea sarcinilor prevăzute în prezentul regulament, autoritatea de reglementare desemnată de fiecare stat membru în temeiul articolului 57 alineatul (1) din Directiva (UE) 2019/944 îndeplinește sarcinile autorității competente în conformitate cu prezentul regulament.

(2)   Statele membre notifică fără întârziere Comisia, ACER, ENISA, Grupul de cooperare NIS, instituit în temeiul articolului 14 din Directiva (UE) 2022/2555, și Grupul de coordonare în domeniul energiei electrice, instituit în temeiul articolului 1 din Decizia Comisiei din 15 noiembrie 2012 (17), și le comunică numele și datele de contact ale autorității competente pe care au desemnat-o în temeiul alineatului (1) din prezentul articol, precum și orice modificări ulterioare ale acestora.

(3)   Statele membre pot permite autorității lor competente să delege altor autorități naționale sarcinile care îi sunt atribuite prin prezentul regulament, cu excepția sarcinilor enumerate la articolul 5. Fiecare autoritate competentă monitorizează aplicarea prezentului regulament de către autoritățile cărora le-a delegat sarcini. Autoritatea competentă comunică Comisiei, ACER, Grupului de coordonare în domeniul energiei electrice, ENISA și Grupului de cooperare NIS numele, datele de contact și sarcinile atribuite autorităților cărora li s-au delegat sarcini, precum și orice modificări ulterioare ale acestor elemente.

(1)   OST elaborează, în cooperare cu entitatea OSD UE, propuneri de termeni și condiții sau metodologii în temeiul alineatului (2) ori propuneri de planuri în temeiul alineatului (3).

(2)   Termenii și condițiile sau metodologiile următoare, precum și orice modificări ale acestora, fac obiectul aprobării de către toate autoritățile competente:

(3)   Propunerile de planuri de atenuare a riscurilor în materie de securitate cibernetică la nivel regional, în temeiul articolului 22 fac obiectul aprobării de către toate autoritățile competente din regiunea în cauză de exploatare a sistemului.

(4)   Propunerile de termeni și condiții sau metodologii enumerate la alineatul (2) ori propunerile de planuri menționate la alineatul (3) includ un calendar propus pentru implementarea lor și o descriere a impactului lor preconizat asupra obiectivelor prezentului regulament.

(5)   Entitatea OSD UE poate furniza un aviz motivat OST în cauză cu până la trei săptămâni înainte de termenul de prezentare a propunerii de termeni și condiții sau metodologii ori a propunerii de planuri către autoritățile competente. OST responsabili cu prezentarea propunerii de termeni și condiții sau metodologii ori a propunerii de planuri iau în considerare avizul motivat al entității OSD UE înainte de a transmite propunerea respectivă, spre aprobare, autorităților competente. OST furnizează o justificare în cazul în care avizul entității OSD UE nu este luat în considerare.

(6)   Atunci când elaborează împreună termeni, condiții și metodologii, precum și planuri, OST participanți cooperează îndeaproape. OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, informează periodic autoritățile competente și ACER cu privire la progresele înregistrate în ceea ce privește elaborarea termenilor și condițiilor sau metodologiilor ori a planurilor.

(1)   În cazul în care nu reușesc să ajungă la un acord, OST care trebuie să decidă cu privire la propunerile de termeni și condiții sau metodologii decid prin vot cu majoritate calificată. În cazul unor astfel de propuneri, majoritatea calificată se calculează după cum urmează:

(2)   O minoritate de blocare pentru deciziile privind propunerile de termeni și condiții sau metodologii enumerate la articolul 6 alineatul (2) trebuie să includă OST reprezentând cel puțin patru state membre. În caz contrar, majoritatea calificată este considerată ca fiind întrunită.

(3)   În cazul în care OST dintr-o regiune de exploatare a sistemului care trebuie să decidă cu privire la propunerile de planuri enumerate la articolul 6 alineatul (2) nu reușesc să ajungă la un acord și în cazul în care regiunea în cauză de exploatare a sistemului este compusă din mai mult de cinci state membre, OST decid prin vot cu majoritate calificată. Majoritatea calificată pentru propunerile enumerate la articolul 6 alineatul (2) se calculează după cum urmează:

(4)   O minoritate de blocare în cazul deciziilor privind propunerile de planuri include cel puțin un număr minim de OST reprezentând peste 35 % din populația statelor membre participante, plus OST reprezentând cel puțin un stat membru vizat suplimentar. În caz contrar, majoritatea calificată este considerată ca fiind întrunită.

(5)   În cazul deciziilor OST privind propunerile de termeni și condiții sau metodologii în temeiul articolului 6 alineatul (2), se atribuie câte un vot fiecărui stat membru. Dacă pe teritoriul unui stat membru există mai mulți OST, statul membru respectiv distribuie drepturile de vot între OST respectivi.

(6)   În cazul în care nu prezintă autorităților competente relevante o propunere inițială sau modificată de termeni și condiții sau metodologii ori de planuri în termenele stabilite în prezentul regulament, OST, în cooperare cu entitatea OSD UE, furnizează autorităților competente relevante și ACER proiectele relevante de termeni și condiții sau metodologii ori de planuri. Ei explică de ce nu s-a ajuns la încheierea unui acord. Autoritățile competente iau împreună măsurile adecvate pentru adoptarea termenilor și condițiilor sau metodologiilor necesare sau a planurilor necesare. Acest lucru se poate realiza, de exemplu, prin solicitarea de modificări ale proiectelor în temeiul prezentului alineat, prin revizuirea și completarea proiectelor respective sau, în cazul în care nu au fost furnizate proiecte, prin definirea și aprobarea termenilor și condițiilor sau metodologiilor necesare ori a planurilor necesare.

(1)   OST transmit autorităților competente relevante, spre aprobare, propunerile de termeni și condiții sau metodologii ori de planuri în termenele corespunzătoare prevăzute la articolele 18, 23, 29, 33, 34, 35 și 37. Autoritățile competente pot prelungi împreună aceste termene în circumstanțe excepționale, în special în cazurile în care un termen nu poate fi respectat din cauza unor circumstanțe externe sferei OST sau a entității OSD UE.

(2)   Propunerile de termeni și condiții sau metodologii ori de planuri în temeiul alineatului (1) se transmit spre informare către ACER, în același timp în care sunt transmise autorităților competente.

(3)   La cererea comună a ANR-urilor, ACER emite un aviz cu privire la propunerea de termeni și condiții sau metodologii ori la propunerea de planuri în termen de șase luni de la primirea propunerilor de termeni și condiții sau metodologii ori de planuri și notifică avizul respectiv ANR-urilor și autorităților competente. ANR-urile, ANC-SC și orice alte autorități desemnate drept autorități competente se coordonează înainte ca ANR-urile să solicite un aviz din partea ACER. În avizul respectiv, ACER poate să includă recomandări. ACER consultă ENISA înainte de a emite un aviz cu privire la propunerile enumerate la articolul 6 alineatul (2).

(4)   Autoritățile competente se consultă, cooperează îndeaproape și se coordonează pentru a ajunge la un acord cu privire la propunerile de termeni și condiții sau metodologii ori de planuri. Înainte de a aproba termenii și condițiile sau metodologiile ori planurile, autoritățile competente revizuiesc și completează propunerile, dacă este necesar, după consultarea ENTSO pentru energie electrică și a entității OSD UE, pentru a se asigura că propunerile sunt în conformitate cu prezentul regulament și contribuie la un nivel comun ridicat de securitate cibernetică în întreaga Uniune.

(5)   Autoritățile competente decid cu privire la termeni și condiții sau metodologii ori la planuri în termen de șase luni de la primirea termenilor și condițiilor sau metodologiilor ori a planurilor de către autoritatea competentă relevantă sau, acolo unde este cazul, de către ultima autoritate competentă relevantă în cauză.

(6)   În cazul în care ACER emite un aviz, autoritățile competente relevante țin seama de avizul respectiv și iau deciziile în termen de șase luni de la primirea avizului ACER.

(7)   În cazul în care autoritățile competente solicită în comun o modificare a termenilor și condițiilor sau metodologiilor propuse ori a planurilor, pentru a le aproba, OST elaborează, în cooperare cu entitatea OSD UE, o propunere privind această modificare a termenilor și condițiilor sau metodologiilor ori a planurilor. OST prezintă propunerea modificată spre aprobare în termen de două luni de la solicitarea autorităților competente. Autoritățile competente decid cu privire la termenii și condițiile sau metodologiile ori la planurile modificate în termen de două luni de la transmiterea acestora.

(8)   În cazul în care nu au reușit să ajungă la un acord în termenul menționat la alineatul (5) sau (7), autoritățile competente informează Comisia în acest sens. Comisia poate lua măsurile corespunzătoare pentru a face posibilă adoptarea termenilor și condițiilor sau metodologiilor ori a planurilor necesare.

(9)   OST, cu sprijinul ENTSO pentru energie electrică, și entitatea OSD UE publică termenii și condițiile sau metodologiile ori planurile pe site-urile lor după aprobarea de către autoritățile competente relevante, cu excepția cazului în care aceste informații sunt considerate confidențiale în conformitate cu articolul 47.

(10)   Autoritățile competente pot solicita în comun OST și entității OSD UE propuneri de modificare a termenilor și condițiilor sau metodologiilor aprobate ori a planurilor aprobate și pot stabili un termen pentru prezentarea propunerilor respective. OST, în cooperare cu entitatea OSD UE, pot propune modificări autorităților competente și din proprie inițiativă. Propunerile de modificare a termenilor și condițiilor sau metodologiilor ori a planurilor se elaborează și se aprobă în conformitate cu procedura prevăzută la prezentul articol.

(11)   Cel puțin o dată la trei ani de la prima adoptare a termenilor și condițiilor sau metodologiilor respective ori de la adoptarea planurilor respective, OST, în cooperare cu entitatea OSD UE, reexaminează eficacitatea termenilor și condițiilor sau metodologiilor adoptate ori a planurilor adoptate și raportează constatările reexaminării autorităților competente și ACER fără întârzieri nejustificate.

(1)   OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, consultă părțile interesate, inclusiv ACER, ENISA și autoritatea competentă a fiecărui stat membru, cu privire la proiectele de propuneri de termeni și condiții sau metodologii enumerate la articolul 6 alineatul (2) și la proiectele de propuneri de planuri menționate la articolul 6 alineatul (3). Consultarea durează cel puțin o lună.

(2)   Propunerile de termeni și condiții sau metodologii enumerate la articolul 6 alineatul (2) care sunt transmise de OST, în cooperare cu entitatea OSD UE, se publică și se supun consultării la nivelul Uniunii. Propunerile de planuri enumerate la articolul 6 alineatul (3) care sunt transmise de OST relevanți, în cooperare cu entitatea OSD UE, la nivel regional, se publică și se supun consultării cel puțin la nivel regional.

(3)   OST, cu sprijinul ENTSO pentru energie electrică, și entitatea OSD UE responsabilă cu propunerea de termeni și condiții sau metodologii ori cu propunerea de planuri țin seama în mod corespunzător de opiniile părților interesate care rezultă în urma consultărilor întreprinse în conformitate cu alineatul (1), înainte de a fi transmise spre aprobare autorităților de reglementare. În toate cazurile, alături de propunerea prezentată, trebuie transmisă și o justificare solidă a includerii sau a neincluderii opiniilor rezultate în urma consultării, care trebuie publicată în timp util, înainte de sau simultan cu propunerea de termeni și condiții sau metodologii.

(1)   Costurile suportate de OST și de OSD care fac obiectul reglementării tarifelor de rețea și care decurg din obligațiile prevăzute în prezentul regulament, inclusiv costurile suportate de ENTSO pentru energie electrică și de entitatea OSD UE, sunt evaluate de ANR relevantă din fiecare stat membru.

(2)   Costurile evaluate ca fiind rezonabile, eficiente și proporționale se recuperează prin tarife de rețea sau prin alte mecanisme adecvate, astfel cum sunt stabilite de ANR relevantă.

(3)   La cererea ANR-urilor relevante, OST și OSD menționați la alineatul (1) furnizează, într-un termen rezonabil stabilit de ANR, informațiile necesare pentru a facilita evaluarea costurilor suportate.

(1)   ACER monitorizează punerea în aplicare a prezentului regulament în conformitate cu articolul 32 alineatul (1) din Regulamentul (UE) 2019/943 și cu articolul 4 alineatul (2) din Regulamentul (UE) 2019/942. În contextul efectuării acestei monitorizări, ACER poate coopera cu ENISA și poate solicita sprijin din partea ENTSO pentru energie electrică și a entității OSD UE. ACER informează periodic Grupul de coordonare în domeniul energiei electrice și Grupul de cooperare NIS cu privire la punerea în aplicare a prezentului regulament.

(2)   ACER publică un raport cel puțin o dată la trei ani după intrarea în vigoare a prezentului regulament pentru:

(3)   Până la data de 13 iunie 2025, ACER, în cooperare cu ENISA și după consultarea ENTSO pentru energie electrică și a entității OSD UE, poate emite orientări cu privire la informațiile relevante care trebuie comunicate ACER în scopul monitorizării, precum și cu privire la procesul de colectare și la frecvența acesteia, pe baza indicatorilor de performanță definiți în conformitate cu alineatul (5).

(4)   Autoritățile competente pot avea acces la informațiile relevante deținute de ACER, pe care aceasta le-a colectat în conformitate cu prezentul articol.

(5)   ACER, în cooperare cu ENISA și cu sprijinul ENTSO pentru energie electrică și al entității OSD UE, emite indicatori de performanță fără caracter obligatoriu pentru evaluarea fiabilității operaționale, care se referă la aspectele legate de securitatea cibernetică a fluxurilor transfrontaliere de energie electrică.

(6)   Entitățile enumerate la articolul 2 alineatul (1) din prezentul regulament transmit ACER informațiile necesare pentru ca ACER să își îndeplinească atribuțiile enumerate la alineatul (2).

(1)   Până la data de 13 iunie 2025, ACER, în cooperare cu ENISA, stabilește un ghid fără caracter obligatoriu de analiză comparativă în materie de securitate cibernetică. Ghidul le explică ANR-urilor principiile de analiză comparativă a controalelor de securitate cibernetică implementate în temeiul alineatului (2) din prezentul articol, luând în considerare costurile implementării controalelor și eficacitatea funcției îndeplinite de procesele, produsele, serviciile, sistemele și soluțiile utilizate pentru implementarea acestor controale. ACER ține seama de rapoartele de analiză comparativă existente atunci când elaborează ghidul fără caracter obligatoriu de analiză comparativă în materie de securitate cibernetică. ACER transmite spre informare ANR-urilor ghidul fără caracter obligatoriu de analiză comparativă în materie de securitate cibernetică.

(2)   În termen de 12 luni de la elaborarea ghidului de analiză comparativă în temeiul alineatului (1), ANR-urile efectuează o analiză comparativă pentru a evalua dacă investițiile actuale în securitatea cibernetică:

(3)   Pentru efectuarea analizei comparative, ANR-urile pot lua în considerare ghidul fără caracter obligatoriu de analiză comparativă în materie de securitate cibernetică elaborat de ACER și evaluează în special:

(4)   Toate informațiile referitoare la analiza comparativă sunt tratate și prelucrate în conformitate cu cerințele de clasificare a datelor din prezentul regulament, cu controalele minime de securitate cibernetică și cu raportul de evaluare a riscurilor în materie de securitate cibernetică a fluxurilor transfrontaliere de energie electrică. Analiza comparativă menționată la alineatele (2) și (3) nu se publică.

(5)   Fără a aduce atingere cerințelor de confidențialitate de la articolul 47 și nici necesității de a proteja securitatea entităților care fac obiectul dispozițiilor din prezentul regulament, analiza comparativă menționată la alineatele (2) și (3) din prezentul articol este comunicată tuturor ANR-urilor, tuturor autorităților competente, ACER, ENISA și Comisiei.

(1)   În termen de 18 luni de la intrarea în vigoare a prezentului regulament, OST dintr-o regiune de exploatare a sistemului care este învecinată cu o țară terță depun eforturi pentru a încheia cu OST din respectiva țară terță învecinată acorduri care să fie în conformitate cu dreptul relevant al Uniunii și care să pună bazele cooperării în domeniul protecției securității cibernetice și ale mecanismelor de cooperare în materie de securitate cibernetică cu OST respectivi.

(2)   OST informează autoritatea competentă cu privire la acordurile încheiate în temeiul alineatului (1).

(1)   Entitățile care nu au un sediu în Uniune, dar care furnizează servicii unor entități din Uniune și care au fost notificate ca fiind entități cu impact ridicat sau entități cu impact critic în conformitate cu articolul 24 alineatul (6), desemnează în scris un reprezentant în Uniune și informează în consecință autoritatea competentă care a transmis notificarea, în termen de trei luni de la notificare.

(2)   Acest reprezentant este mandatat cu scopul de a fi contactat de orice autoritate competentă sau echipă CSIRT din Uniune, pe lângă entitatea cu impact ridicat sau entitatea cu impact critic sau în locul acesteia, în ceea ce privește obligațiile care îi revin entității în temeiul prezentului regulament. Entitatea cu impact ridicat sau entitatea cu impact critic îi conferă reprezentantului său legal competențele necesare și îi furnizează resurse suficiente pentru a garanta cooperarea sa eficientă și în timp util cu autoritățile competente sau echipele CSIRT relevante.

(3)   Reprezentantul se stabilește în unul dintre statele membre în care entitatea își oferă serviciile. Entitatea este considerată a fi sub jurisdicția statului membru în care este stabilit reprezentantul. Entitățile cu impact ridicat sau entitățile cu impact critic notifică numele, adresa poștală, adresa de e-mail și numărul de telefon ale reprezentantului lor legal autorității competente din statul membru în care își are reședința sau în care este stabilit respectivul reprezentant legal.

(4)   Reprezentantul legal desemnat poate fi tras la răspundere pentru nerespectarea obligațiilor prevăzute în prezentul regulament, fără a se aduce atingere răspunderii și acțiunilor în justiție care ar putea fi introduse împotriva entității cu impact ridicat sau a entității cu impact critic înseși.

(5)   În absența unui reprezentant în Uniune desemnat în temeiul prezentului articol, orice stat membru în care entitatea prestează servicii poate introduce acțiuni în justiție împotriva entității respective pentru nerespectarea obligațiilor care îi revin în temeiul prezentului regulament.

(6)   Desemnarea unui reprezentant legal Uniune în temeiul alineatului (1) nu este echivalentă stabilirii în Uniune.

(1)   ENTSO pentru energie electrică și entitatea OSD UE cooperează în vederea efectuării evaluărilor riscurilor în materie de securitate cibernetică în temeiul articolelor 19 și 21, în special pentru îndeplinirea următoarelor sarcini:

(2)   Cooperarea dintre ENTSO pentru energie electrică și entitatea OSD UE poate lua forma unui grup de lucru privind riscurile în materie de securitate cibernetică.

(3)   ENTSO pentru energie electrică și entitatea OSD UE informează periodic ACER, ENISA, Grupul de cooperare NIS și Grupul de coordonare în domeniul energiei electrice cu privire la progresele înregistrate în ceea ce privește implementarea evaluărilor riscurilor în materie de securitate cibernetică la nivelul Uniunii și la nivel regional în temeiul articolelor 19 și 21.

(1)   Până la data de 13 martie 2025, OST, cu asistență din partea ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE și în urma unei consultări cu Grupul de cooperare NIS prezintă o propunere de metodologii de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii, la nivel regional și la nivel de stat membru.

(2)   Metodologiile de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii, la nivel regional și la nivel de stat membru includ:

(3)   Metodologiile de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii, la nivel regional și la nivel de stat membru evaluează riscurile în materie de securitate cibernetică utilizând aceeași matrice de evaluare a impactului riscurilor. Matricea de evaluare a impactului riscurilor:

(4)   Metodologiile de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii descriu modul în care vor fi definite valorile ECII pentru pragurile de impact ridicat și pentru pragurile de impact critic. ECII permite entităților să estimeze, cu ajutorul criteriilor menționate la alineatul (2) litera (b), impactul riscurilor asupra procesului lor operațional în timpul evaluărilor impactului operațional pe care le efectuează în temeiul articolului 26 alineatul (4) litera (c) punctul (i).

(5)   ENTSO pentru energie electrică, în coordonare cu entitatea OSD UE, informează Grupul de coordonare în domeniul energiei electrice cu privire la propunerile de metodologii de evaluare a riscurilor în materie de securitate cibernetică care sunt elaborate în temeiul alineatului (1).

(1)   În termen de 9 luni de la aprobarea metodologiilor de evaluare a riscurilor în materie de securitate cibernetică în temeiul articolului 8 și, ulterior, o dată la trei ani, ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE și în consultare cu Grupul de cooperare NIS, efectuează, fără a aduce atingere articolului 22 din Directiva (UE) 2022/2555, o evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii și elaborează un proiect de raport de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii. În acest scop, organismele respective vor utiliza metodologiile elaborate în temeiul articolului 18 și aprobate în temeiul articolului 8 pentru a identifica, a analiza și a evalua posibilele consecințe ale atacurilor cibernetice care afectează securitatea operațională a sistemului de energie electrică și care perturbă fluxurile transfrontaliere de energie electrică. Evaluarea riscurilor în materie de securitate cibernetică la nivelul Uniunii nu ia în considerare daunele juridice, financiare sau reputaționale cauzate de atacurile cibernetice.

(2)   Raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii include următoarele elemente:

(3)   În ceea ce privește procesele cu impact ridicat la nivelul Uniunii și procesele cu impact critic la nivelul Uniunii, raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii include:

(4)   ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, transmite ACER, spre avizare, proiectul de raport de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii, împreună cu rezultatele evaluării riscurilor în materie de securitate cibernetică la nivelul Uniunii. ACER emite un aviz cu privire la proiectul de raport în termen de trei luni de la primirea acestuia. ENTSO pentru energie electrică și entitatea OSD UE țin seama în cea mai mare măsură de avizul ACER atunci când finalizează raportul respectiv.

(5)   În termen de trei luni de la primirea avizului ACER, ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, notifică ACER, Comisiei, ENISA și autorităților competente raportul final de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii.

(1)   Fiecare autoritate competentă efectuează o evaluare a riscurilor în materie de securitate cibernetică la nivelul statului membru în cauză cu privire la toate entitățile cu impact ridicat și la toate entitățile cu impact critic din statul membru respectiv, utilizând metodologiile elaborate în temeiul articolului 18 și aprobate în temeiul articolului 8. Evaluarea riscurilor în materie de securitate cibernetică la nivel de stat membru identifică și analizează riscurile de atacuri cibernetice care afectează securitatea operațională a sistemului de energie electrică, perturbând fluxurile transfrontaliere de energie electrică. Evaluarea riscurilor în materie de securitate cibernetică la nivel de stat membru nu ia în considerare daunele juridice, financiare sau reputaționale cauzate de atacurile cibernetice.

(2)   În termen de 21 de luni de la notificarea entităților cu impact ridicat și a entităților cu impact critic în temeiul articolului 24 alineatul (6) și, ulterior, o dată la trei ani și după consultarea ANC-SC responsabilă cu energia electrică, fiecare autoritate competentă, sprijinită de echipa CSIRT, prezintă ENTSO pentru energie electrică și entității OSD UE un raport de evaluare a riscurilor în materie de securitate cibernetică la nivel de stat membru, care conține următoarele informații pentru fiecare proces operațional cu impact ridicat și pentru fiecare proces operațional cu impact critic:

(3)   Raportul de evaluare a riscurilor în materie de securitate cibernetică la nivel de stat membru ține seama de planul de pregătire pentru riscuri elaborat de statul membru respectiv în temeiul articolului 10 din Regulamentul (UE) 2019/941.

(4)   Informațiile cuprinse în raportul de evaluare a riscurilor în materie de securitate cibernetică la nivel de stat membru în temeiul alineatului (2) literele (a)-(d) nu sunt legate de entități sau active specifice. Raportul de evaluare a riscurilor în materie de securitate cibernetică la nivel de stat membru include, de asemenea, o evaluare a riscurilor legate de derogările temporare emise de autoritățile competente din statele membre în temeiul articolului 30.

(5)   ENTSO pentru energie electrică și entitatea OSD UE pot solicita informații suplimentare de la autoritățile competente în legătură cu sarcinile specificate la alineatul (2) literele (a) și (c).

(6)   Autoritățile competente se asigură că informațiile pe care le furnizează sunt exacte și corecte.

(1)   ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE și în consultare cu centrul regional de coordonare relevant, efectuează o evaluare a riscurilor în materie de securitate cibernetică la nivel regional pentru fiecare regiune de exploatare a sistemului, utilizând metodologiile elaborate în temeiul articolului 19 și aprobate în temeiul articolului 8, pentru a identifica, a analiza și a evalua riscurile de atacuri cibernetice care afectează securitatea operațională a sistemului de energie electrică și perturbă fluxurile transfrontaliere de energie electrică. Evaluările riscurilor în materie de securitate cibernetică la nivel regional nu iau în considerare daunele juridice, financiare sau reputaționale cauzate de atacurile cibernetice.

(2)   În termen de 30 de luni de la notificarea entităților cu impact ridicat și a entităților cu impact critic în temeiul articolului 24 alineatul (6) și, ulterior, o dată la trei ani, ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE și în consultare cu Grupul de cooperare NIS, întocmește un raport de evaluare a riscurilor în materie de securitate cibernetică la nivel regional pentru fiecare regiune de exploatare a sistemului.

(3)   Raportul de evaluare a riscurilor în materie de securitate cibernetică la nivel regional ține seama de informațiile relevante cuprinse în rapoartele de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii și în rapoartele de evaluare a riscurilor în materie de securitate cibernetică ale statelor membre.

(4)   Evaluarea riscurilor în materie de securitate cibernetică la nivel regional ia în considerare scenariile regionale de criză de energie electrică legate de securitatea cibernetică, identificate în temeiul articolului 6 din Regulamentul (UE) 2019/941.

(1)   În termen de 36 de luni de la notificarea entităților cu impact ridicat și a entităților cu impact critic în temeiul articolului 24 alineatul (6) și nu mai târziu de 13 iunie 2031 și o dată la trei ani după această dată, OST, cu sprijinul ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE și în consultare cu centrele de coordonare regionale și cu Grupul de cooperare NIS, elaborează un plan de atenuare a riscurilor în materie de securitate cibernetică la nivel regional pentru fiecare regiune de exploatare a sistemului.

(2)   Planurile de atenuare a riscurilor în materie de securitate cibernetică la nivel regional includ:

(3)   ENTSO pentru energie electrică prezintă operatorilor de sisteme de transport relevanți, autorităților competente și Grupului de coordonare în domeniul energiei electrice planurile de atenuare a riscurilor la nivel regional. Grupul de coordonare în domeniul energiei electrice poate recomanda modificări.

(4)   OST, cu sprijinul ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE și în consultare cu Grupul de cooperare NIS, actualizează o dată la trei ani planurile de atenuare a riscurilor la nivel regional, cu excepția cazului în care circumstanțele impun actualizări mai frecvente.

(1)   În termen de 40 de luni de la notificarea entităților cu impact ridicat și a entităților cu impact critic în temeiul articolului 24 alineatul (6) și, ulterior, o dată la trei ani, OST, cu sprijinul ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE și în consultare cu Grupul de cooperare NIS, furnizează Grupului de coordonare în domeniul energiei electrice un raport privind rezultatul evaluării riscurilor în materie de securitate cibernetică în ceea ce privește fluxurile transfrontaliere de energie electrică („raportul cuprinzător de evaluare a riscurilor în materie de securitate cibernetică a fluxurilor transfrontaliere de energie electrică”).

(2)   Raportul cuprinzător de evaluare a riscurilor în materie de securitate cibernetică a fluxurilor transfrontaliere de energie electrică se bazează pe raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii, pe rapoartele de evaluare a riscurilor în materie de securitate cibernetică ale statelor membre și pe rapoartele de evaluare a riscurilor în materie de securitate cibernetică la nivel regional și include următoarele informații:

(3)   Entitățile enumerate la articolul 2 alineatul (1) pot contribui la elaborarea raportului cuprinzător de evaluare a riscurilor în materie de securitate cibernetică a fluxurilor transfrontaliere de energie electrică, respectând confidențialitatea informațiilor în conformitate cu articolul 47. OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, consultă aceste entități încă dintr-un stadiu incipient.

(4)   Raportul cuprinzător de evaluare a riscurilor în materie de securitate cibernetică a fluxurilor transfrontaliere de energie electrică face obiectul normelor privind protecția schimbului de informații în temeiul articolului 46. Fără a aduce atingere articolului 10 alineatul (4) și articolului 47 alineatul (4), ENTSO pentru energie electrică și entitatea OSD UE publică o versiune accesibilă publicului a raportului respectiv, care nu trebuie să conțină informații care pot cauza prejudicii entităților enumerate la articolul 2 alineatul (1). Versiunea accesibilă publicului a acestui raport se publică numai cu acordul Grupului de cooperare NIS și al Grupului de coordonare în domeniul energiei electrice. ENTSO pentru energie electrică, în coordonare cu entitatea OSD UE, este responsabilă de compilarea și publicarea versiunii accesibile publicului a raportului.

(1)   Fiecare autoritate competentă identifică, utilizând pragurile ECII, precum și pragurile de impact ridicat și pragurile de impact critic incluse în raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii în temeiul articolului 19 alineatul (3) litera (b), entitățile cu impact ridicat și entitățile cu impact critic din statul său membru care sunt implicate în procesele cu impact ridicat și în procesele cu impact critic la nivelul Uniunii. Autoritățile competente pot solicita informații de la o entitate din statul lor membru pentru a determina valorile ECII pentru entitatea respectivă. În cazul în care ECII determinat al unei entități depășește pragul de impact ridicat sau pragul de impact critic, entitatea identificată este inclusă în raportul de evaluare a riscurilor în materie de securitate cibernetică la nivel de stat membru, menționat la articolul 20 alineatul (2).

(2)   Fiecare autoritate competentă identifică, utilizând pragurile ECII, precum și pragurile de impact ridicat și pragurile de impact critic incluse în raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii în temeiul articolului 19 alineatul (3) litera (b), entitățile cu impact ridicat și entitățile cu impact critic care nu sunt stabilite în Uniune, în măsura în care acestea își desfășoară activitatea în Uniune. Autoritatea competentă poate solicita informații de la o entitate care nu este stabilită în Uniune pentru a determina valorile ECII pentru entitate.

(3)   Fiecare autoritate competentă poate identifica entități suplimentare din statul său membru ca entități cu impact ridicat sau entități cu impact critic dacă sunt îndeplinite următoarele criterii:

(4)   În cazul în care o autoritate competentă identifică entități suplimentare în conformitate cu alineatul (3), toate procesele din cadrul acestor entități pentru care ECII agregate în cadrul grupului depășesc pragul de impact ridicat sunt considerate procese cu impact ridicat, iar toate procesele din cadrul acestor entități pentru care ECII agregate în cadrul grupului depășesc pragurile de impact critic sunt considerate procese cu impact critic.

(5)   În cazul în care identifică entități menționate la alineatul (3) litera (a) în mai multe state membre, autoritatea competentă informează celelalte autorități competente, ENTSO pentru energie electrică și entitatea OSD UE. ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, pe baza informațiilor primite de la toate autoritățile competente, furnizează autorităților competente o analiză a agregării entităților din mai multe state membre care pot crea o perturbare distribuită a fluxurilor transfrontaliere de energie electrică și care pot duce la un atac cibernetic. În cazul în care un grup de entități din mai multe state membre este identificat ca fiind o agregare al cărei ECII depășește pragul de impact ridicat sau pragul de impact critic, toate autoritățile competente în cauză identifică entitățile din acest grup ca entități cu impact ridicat sau ca entități cu impact critic pentru statul lor membru respectiv, pe baza ECII agregate pentru grupul de entități, iar entitățile identificate trebuie enumerate în raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii.

(6)   În termen de nouă luni de la notificarea ENTSO pentru energie electrică și a entității OSD UE cu privire la raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii în temeiul articolului 19 alineatul (5) și, în orice caz, nu mai târziu de 13 iunie 2028, fiecare autoritate competentă notifică entităților de pe listă faptul că au fost identificate ca entități cu impact ridicat sau ca entități cu impact critic în statul său membru.

(7)   În cazul în care un furnizor de servicii este raportat unei autorități competente ca fiind un furnizor critic de servicii TIC în temeiul articolului 27 litera (c), autoritatea competentă respectivă notifică acest lucru autorităților competente din statele membre pe teritoriul cărora se află sediul sau reprezentantul acestui furnizor. Această din urmă autoritate competentă notifică furnizorului de servicii faptul că a fost identificat ca fiind un furnizor critic de servicii TIC.

(1)   Autoritățile competente pot institui un sistem național de verificare pentru a verifica dacă entitățile cu impact critic identificate în temeiul articolului 24 alineatul (1) au pus în aplicare cadrul legislativ național care este inclus în matricea de corespondență menționată la articolul 34. Sistemul național de verificare se poate baza pe o inspecție efectuată de autoritatea competentă, pe audituri de securitate independente sau pe evaluări reciproce inter pares efectuate de entități cu impact critic din același stat membru, supravegheate de autoritatea competentă.

(2)   În cazul în care decide să instituie un sistem național de verificare, autoritatea competentă se asigură că verificarea se efectuează în conformitate cu următoarele cerințe:

(3)   În cazul în care o autoritate competentă decide să instituie un sistem național de verificare, aceasta raportează anual ACER cu privire la frecvența cu care a efectuat inspecții în cadrul sistemului respectiv.

(1)   Fiecare entitate cu impact ridicat și fiecare entitate cu impact critic identificată de autoritățile competente în temeiul articolului 24 alineatul (1) efectuează gestionarea riscurilor în materie de securitate cibernetică pentru toate activele sale în perimetrul său cu impact ridicat și în perimetrul său cu impact critic. Fiecare entitate cu impact ridicat și fiecare entitate cu impact critic trebuie să efectueze o gestionare a riscurilor care să conțină etapele de la alineatul (2) o dată la trei ani.

(2)   Fiecare entitate cu impact ridicat și fiecare entitate cu impact critic își bazează gestionarea riscurilor în materie de securitate cibernetică pe o abordare care urmărește să le protejeze rețelele și sistemele informatice și care cuprinde următoarele etape:

(3)   În etapa de stabilire a contextului, fiecare entitate cu impact ridicat și fiecare entitate cu impact critic:

(4)   În cursul etapei de evaluare a riscurilor în materie de securitate cibernetică, fiecare entitate cu impact ridicat și fiecare entitate cu impact critic:

(5)   În cursul etapei de tratare a riscurilor în materie de securitate cibernetică, fiecare entitate cu impact ridicat și fiecare entitate cu impact critic stabilește un plan de atenuare a riscurilor la nivel de entitate prin selectarea opțiunilor de tratare a riscurilor adecvate pentru gestionarea riscurilor și pentru identificarea riscurilor reziduale.

(6)   În cursul etapei de acceptare a riscului în materie de securitate cibernetică, fiecare entitate cu impact ridicat și fiecare entitate cu impact critic decide dacă acceptă riscul rezidual pe baza criteriilor de acceptare a riscurilor, stabilite la alineatul (3) litera (b).

(7)   Fiecare entitate cu impact ridicat și fiecare entitate cu impact critic trebuie să înregistreze activele identificate la alineatul (1) într-un inventar al activelor. Acest inventar al activelor nu face parte din raportul de evaluare a riscurilor.

(8)   Autoritatea competentă poate inspecta activele inventarului în timpul inspecțiilor.

(1)   Cadrul comun de securitate cibernetică în domeniul energiei electrice este compus din următoarele controale și din sistemul de gestionare a securității cibernetice:

(2)   Toate entitățile cu impact ridicat aplică controalele minime de securitate cibernetică în temeiul alineatului (1) litera (a) în perimetrul lor cu impact ridicat.

(3)   Toate entitățile cu impact critic aplică controalele avansate de securitate cibernetică în temeiul alineatului (1) litera (b) în perimetrul lor cu impact critic.

(4)   În termen de 7 luni de la transmiterea primului proiect de raport de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii în temeiul articolului 19 alineatul (4), cadrul comun de securitate cibernetică în domeniul energiei electrice menționat la alineatul (1) este completat de controale minime și de controale avansate de securitate cibernetică în lanțul de aprovizionare, elaborate în temeiul articolului 33.

(1)   În termen de 7 luni de la transmiterea primului proiect de raport de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii în temeiul articolului 19 alineatul (4), OST, cu sprijinul ENTSO de energie electrică și în cooperare cu entitatea OSD UE, elaborează o propunere pentru controalele minime și pentru controalele avansate de securitate cibernetică.

(2)   În termen de 6 luni de la elaborarea fiecărui raport de evaluare a riscurilor în materie de securitate cibernetică la nivel regional în temeiul articolului 21 alineatul (2), OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, propun autorității competente o modificare a controalelor minime și a controalelor avansate de securitate cibernetică. Propunerea se va realiza în conformitate cu articolul 8 alineatul (10) și va ține seama de riscurile identificate în evaluarea riscurilor la nivel regional.

(3)   Controalele minime și controalele avansate de securitate cibernetică trebuie să poată fi verificate prin participarea la un sistem național de verificare în conformitate cu procedura prevăzută la articolul 31 sau prin efectuarea de audituri de securitate de către terți independenți în conformitate cu cerințele enumerate la articolul 25 alineatul (2).

(4)   Controalele de securitate cibernetică inițiale, atât cele minime, cât și cele avansate, elaborate în temeiul alineatului (1), se bazează pe riscurile identificate în raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii menționat la articolul 19 alineatul (5). Controalele de securitate cibernetică modificate, atât cele minime, cât și cele avansate, elaborate în temeiul alineatului (2), se bazează pe raportul de evaluare a riscurilor în materie de securitate cibernetică la nivel regional menționat la articolul 21 alineatul (2).

(5)   Controalele minime de securitate cibernetică includ controale menite să protejeze informațiile schimbate în temeiul articolului 46.

(6)   În termen de 12 luni de la aprobarea controalelor minime și a controalelor avansate de securitate cibernetică în temeiul articolului 8 alineatul (5) sau după fiecare actualizare în temeiul articolului 8 alineatul (10), entitățile enumerate la articolul 2 alineatul (1) și identificate ca entități cu impact critic și ca entități cu impact ridicat în temeiul articolului 24 aplică, în timpul elaborării planului de atenuare a riscurilor la nivel de entitate în temeiul articolului 26 alineatul (5), controalele minime de securitate cibernetică în perimetrul cu impact ridicat și controalele avansate de securitate cibernetică în perimetrul cu impact critic.

(1)   Entitățile enumerate la articolul 2 alineatul (1) pot solicita autorității competente respective să acorde o derogare de la obligația de a aplica controalele minime și controalele avansate de securitate cibernetică menționate la articolul 29 alineatul (6). Autoritatea competentă poate acorda o astfel de derogare pe baza unuia dintre următoarele motive:

(2)   În termen de trei luni de la primirea cererii menționate la alineatul (1), fiecare autoritate competentă decide dacă trebuie acordată o derogare de la controalele minime și de la controalele avansate de securitate cibernetică. Derogările de la controalele minime sau de la controalele avansate de securitate cibernetică se acordă pentru o perioadă maximă de trei ani, cu posibilitatea de reînnoire.

(3)   Informațiile agregate și anonimizate pentru derogările acordate se includ ca anexă la raportul cuprinzător de evaluare a riscurilor în materie de securitate cibernetică a fluxurilor transfrontaliere de energie electrică menționat la articolul 23. ENTSO pentru energie electrică și entitatea OSD UE actualizează în comun lista, dacă este necesar.

(1)   În termen de maximum 24 de luni de la adoptarea controalelor menționate la articolul 28 alineatul (1) literele (a)-(c) și de la instituirea sistemului de gestionare a securității cibernetice menționat la litera (d) de la articolul respectiv, fiecare entitate cu impact critic identificată în conformitate cu articolul 24 alineatul (1) trebuie să fie în măsură să demonstreze, la cererea autorității competente, conformitatea cu sistemul de gestionare a securității cibernetice și cu controalele minime sau controalele avansate de securitate cibernetică.

(2)   Fiecare entitate cu impact critic îndeplinește obligația menționată la alineatul (1) prin efectuarea de audituri de securitate de către terți independenți, în conformitate cu cerințele enumerate la articolul 25 alineatul (2), sau prin participarea la un sistem național de verificare în conformitate cu articolul 25 alineatul (1).

(3)   Verificarea faptului că o entitate cu impact critic respectă sistemul de gestionare a securității cibernetice și controalele minime sau controalele avansate de securitate cibernetică vizează toate activele din perimetrul cu impact critic al entității cu impact critic.

(4)   Verificarea faptului că o entitate cu impact critic respectă sistemul de gestionare a securității cibernetice și controalele minime sau controalele avansate de securitate cibernetică se repetă periodic cel târziu la 36 de luni de la încheierea primei verificări și, ulterior, o dată la trei ani.

(5)   Fiecare entitate cu impact critic definită în conformitate cu articolul 24 demonstrează că respectă controalele menționate la articolul 28 alineatul (1) literele (a)-(c) și că a instituit sistemul de gestionare a securității cibernetice menționat la litera (d) de la articolul respectiv prin transmiterea rezultatului verificării conformității către autoritatea competentă.

(1)   Fiecare entitate cu impact ridicat și fiecare entitate cu impact critic, în termen de 24 de luni de la data la care autoritatea competentă i-a notificat faptul că a fost identificată drept entitate cu impact ridicat sau drept entitate cu impact critic în conformitate cu articolul 24 alineatul (6), instituie un sistem de gestionare a securității cibernetice și, ulterior, îl revizuiește o dată la trei ani în următoarele scopuri:

(2)   Domeniul de aplicare al sistemului de gestionare a securității cibernetice include toate activele din perimetrul cu impact ridicat și din perimetrul cu impact critic al entității cu impact ridicat și al entității cu impact critic.

(3)   Fără a impune sau a face o discriminare în favoarea utilizării unui anumit tip de tehnologie, autoritățile competente încurajează utilizarea standardelor și specificațiilor europene sau internaționale referitoare la sistemele de management și relevante pentru securitatea rețelelor și a sistemelor informatice.

(1)   În termen de șapte luni de la transmiterea primului proiect de raport de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii în temeiul articolului 19 alineatul (4), OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, elaborează o propunere de controale minime și de controale avansate de securitate cibernetică în lanțul de aprovizionare, care să atenueze riscurile legate de lanțul de aprovizionare identificate în evaluările riscurilor în materie de securitate cibernetică la nivelul Uniunii, completând controalele minime și controalele avansate de securitate cibernetică elaborate în temeiul articolului 29. Controalele minime și controalele avansate de securitate cibernetică în lanțul de aprovizionare se elaborează împreună cu controalele minime și cu controalele avansate de securitate cibernetică în temeiul articolului 29. Controalele minime și controalele avansate de securitate cibernetică în lanțul de aprovizionare acoperă întregul ciclu de viață al tuturor produselor TIC, serviciilor TIC și proceselor TIC din perimetrul cu impact ridicat sau din perimetrul cu impact critic al unei entități cu impact ridicat sau al unei entități cu impact critic. Grupul de cooperare NIS este consultat la elaborarea propunerii de controale minime și de controale avansate de securitate cibernetică în lanțul de aprovizionare.

(2)   Controalele minime de securitate cibernetică în lanțul de aprovizionare constau în controale pentru entitățile cu impact ridicat și pentru entitățile cu impact critic care:

(3)   În ceea ce privește specificațiile de securitate cibernetică din recomandarea privind achizițiile în materie de securitate cibernetică menționată la alineatul (2) litera (a), entitățile cu impact ridicat sau entitățile cu impact critic utilizează principiile achizițiilor publice în temeiul Directivei 2014/24/UE a Parlamentului European și a Consiliului (19), în conformitate cu articolul 35 alineatul (4), sau își definesc propriile specificații pe baza rezultatelor evaluării riscurilor în materie de securitate cibernetică la nivel de entitate.

(4)   Controalele avansate de securitate cibernetică din lanțul de aprovizionare includ controale pentru entitățile cu impact critic cu scopul de a verifica, în timpul achizițiilor publice, dacă produsele TIC, serviciile TIC și procesele TIC care vor fi utilizate ca active cu impact critic îndeplinesc specificațiile de securitate cibernetică. Produsul TIC, serviciul TIC sau procesul TIC se verifică fie prin intermediul unui sistem european de certificare a securității cibernetice menționat la articolul 31, fie prin activitățile de verificare selectate și organizate de entitate. Profunzimea și acoperirea activităților de verificare trebuie să fie suficiente pentru a oferi asigurarea că produsul TIC, serviciul TIC sau procesul TIC poate fi utilizat pentru a atenua riscurile identificate în evaluarea riscurilor la nivel de entitate. Entitatea cu impact critic trebuie să documenteze măsurile luate pentru a reduce riscurile identificate.

(5)   Controalele minime și controalele avansate de securitate cibernetică din lanțul de aprovizionare se aplică achizițiilor de produse TIC, servicii TIC și procese TIC relevante. Controalele minime și controalele avansate în materie de securitate cibernetică ale lanțului de aprovizionare se vor aplica proceselor de achiziții publice din entitățile identificate ca fiind entități cu impact critic și entități cu impact ridicat în conformitate cu articolul 24, care încep la șase luni de la adoptarea sau actualizarea controalelor minime și controalelor avansate de securitate cibernetică menționate la articolul 29.

(6)   În termen de 6 luni de la elaborarea fiecărui raport de evaluare a riscurilor în materie de securitate cibernetică la nivel regional în temeiul articolului 21 alineatul (2), OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, propun autorității competente o modificare a controalelor minime și a controalelor avansate de securitate cibernetică din lanțul de aprovizionare. Propunerea se va realiza în conformitate cu articolul 8 alineatul (10) și va ține seama de riscurile identificate în evaluarea riscurilor la nivel regional.

(1)   În termen de 7 luni de la transmiterea primului proiect de raport de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii în temeiul articolului 19 alineatul (4), OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE și în consultare cu ENISA, elaborează o propunere de matrice pentru punerea în corespondență a controalelor prevăzute la articolul 28 alineatul (1) literele (a) și (b) cu standardele europene și internaționale selectate, precum și cu specificațiile tehnice relevante („matricea de corespondență”). ENTSO pentru energie electrică și entitatea OSD UE documentează echivalența diferitelor controale cu controalele prevăzute la articolul 28 alineatul (1) literele (a) și (b).

(2)   Autoritățile competente pot furniza ENTSO pentru energie electrică și entității OSD UE o punere în corespondență a controalelor prevăzute la articolul 28 alineatul (1) literele (a) și (b), cu o trimitere la cadrele legislative sau de reglementare naționale aferente, inclusiv la standardele naționale relevante ale statelor membre în temeiul articolului 25 din Directiva (UE) 2022/2555. În cazul în care autoritatea competentă a unui stat membru furnizează o astfel de punere în corespondență, ENTSO pentru energie electrică și entitatea OSD UE o integrează în matricea de corespondență.

(3)   În termen de 6 luni de la elaborarea fiecărui raport de evaluare a riscurilor în materie de securitate cibernetică la nivel regional în temeiul articolului 21 alineatul (2), OST, cu sprijinul ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE și în consultare cu ENISA, propun autorității competente o modificare a matricei de corespondență. Propunerea se va realiza în conformitate cu articolul 8 alineatul (10) și va ține seama de riscurile identificate în evaluarea riscurilor la nivel regional.

(1)   OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, elaborează, în cadrul unui program de lucru care urmează să fie stabilit și actualizat de fiecare dată când se adoptă un raport de evaluare a riscurilor în materie de securitate cibernetică la nivel regional, seturi de recomandări fără caracter obligatoriu privind achizițiile în domeniul securității cibernetice pe care entitățile cu impact ridicat și entitățile cu impact critic le pot utiliza ca bază pentru achiziționarea de produse TIC, servicii TIC și procese TIC în perimetre cu impact ridicat și în perimetre cu impact critic. Programul de lucru cuprinde următoarele aspecte:

(2)   În termen de 6 luni de la adoptarea sau actualizarea raportului de evaluare a riscurilor în materie de securitate cibernetică la nivel regional, ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, furnizează ACER un rezumat al programului de lucru respectiv.

(3)   OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, depun eforturi pentru a se asigura că recomandările fără caracter obligatoriu privind achizițiile în domeniul securității cibernetice elaborate pe baza evaluării relevante a riscurilor în materie de securitate cibernetică la nivel regional sunt similare sau comparabile între regiunile de exploatare a sistemului. Seturile de recomandări privind achizițiile în domeniul securității cibernetice acoperă cel puțin specificațiile menționate la articolul 33 alineatul (2) litera (a). Acolo unde este posibil, specificațiile trebuie selectate din standardele europene și internaționale.

(4)   OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, se asigură că seturile de recomandări privind achizițiile în domeniul securității cibernetice:

(1)   Recomandările fără caracter obligatoriu privind achizițiile în domeniul securității cibernetice elaborate în temeiul articolului 35 pot include orientări sectoriale specifice privind utilizarea sistemelor europene de certificare a securității cibernetice, ori de câte ori este disponibil un sistem adecvat pentru un tip de produs TIC, serviciu TIC sau proces TIC utilizat de entități cu impact critic, fără a aduce atingere cadrului pentru instituirea sistemelor europene de certificare a securității cibernetice în temeiul articolului 46 din Regulamentul (UE) 2019/881.

(2)   OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, cooperează îndeaproape cu ENISA la furnizarea orientărilor sectoriale incluse în recomandările fără caracter obligatoriu privind achizițiile în domeniul securității cibernetice în temeiul alineatului (1).

(1)   În cazul în care primește informații referitoare la un atac cibernetic raportabil, o autoritate competentă are următoarele obligații:

(2)   În cazul în care ia cunoștință de o vulnerabilitate necorectată exploatată activ, o echipă CSIRT are următoarele obligații:

(3)   În cazul în care ia cunoștință de o vulnerabilitate necorectată exploatată activ, o autoritate competentă are următoarele obligații:

(4)   În cazul în care ia cunoștință de o vulnerabilitate necorectată, fără a dovedi că a fost încă exploatată activ, autoritatea competentă se coordonează, fără întârzieri nejustificate, cu CSIRT în scopul divulgării coordonate a vulnerabilităților, astfel cum se prevede la articolul 12 alineatul (1) din Directiva (UE) 2022/2555.

(5)   În cazul în care primește informații legate de amenințări cibernetice de la una sau mai multe entități cu impact ridicat sau de la una sau mai multe entități cu impact critic în temeiul articolului 38 alineatul (6), o echipă CSIRT diseminează informațiile respective sau orice alte informații importante pentru prevenirea, detectarea, răspunsul sau atenuarea riscului asociat entităților cu impact critic și entităților cu impact ridicat din statul său membru și, după caz, tuturor echipelor CSIRT vizate și punctului său unic de contact național, fără întârzieri nejustificate și în termen de cel mult patru ore de la primirea informațiilor.

(6)   În cazul în care ia cunoștință de informații legate de amenințările cibernetice de la una sau mai multe entități cu impact ridicat sau cu impact critic, o autoritate competentă transmite aceste informații echipei CSIRT în sensul alineatului (5).

(7)   Autoritățile competente pot delega integral sau parțial responsabilitățile prevăzute la alineatele (3) și (4) privind una sau mai multe entități cu impact ridicat sau cu impact critic care își desfășoară activitatea în mai multe state membre unei alte autorități competente dintr-unul dintre statele membre respective, în urma unui acord între autoritățile competente în cauză.

(8)   OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, elaborează o metodologie a grilei de clasificare a atacurilor cibernetice până la 13 iunie 2025. OST, cu sprijinul ENTSO pentru energie electrică și al entității OSD UE, pot solicita autorităților competente să consulte ENISA și autoritățile lor competente responsabile cu securitatea cibernetică pentru asistență la elaborarea unei astfel de grile de clasificare. Metodologia prevede clasificarea gravității unui atac cibernetic în funcție de 5 niveluri, cele mai înalte două niveluri fiind „ridicat” și „critic”. Clasificarea se bazează pe evaluarea următorilor parametri:

(9)   Până la 13 iunie 2026, ENTSO pentru energie electrică, în colaborare cu entitatea OSD UE, efectuează un studiu de fezabilitate pentru a evalua posibilitatea și costurile financiare necesare dezvoltării unui instrument comun care să permită tuturor entităților să facă schimb de informații cu autoritățile naționale relevante.

(10)   Studiul de fezabilitate abordează posibilitatea ca un astfel de instrument comun:

(11)   ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE:

(12)   ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, poate analiza și facilita inițiativele propuse de entitățile cu impact critic și de entitățile cu impact ridicat pentru a evalua și testa astfel de instrumente pentru schimbul de informații.

(1)   Fiecare entitate cu impact ridicat și fiecare entitate cu impact critic:

(2)   ENISA poate emite orientări fără caracter obligatoriu privind instituirea unor astfel de capacități sau subcontractarea serviciului către MSSP, ca parte a sarcinii definite la articolul 6 alineatul (2) din Regulamentul (UE) 2019/881.

(3)   Fiecare entitate cu impact critic și fiecare entitate cu impact ridicat face schimb de informații relevante referitoare la un atac cibernetic raportabil cu echipele sale CSIRT și cu autoritatea sa competentă, fără întârzieri nejustificate și în termen de cel mult patru ore de la momentul în care a luat cunoștință de faptul că incidentul este raportabil.

(4)   Informațiile referitoare la un atac cibernetic sunt considerate raportabile atunci când atacul cibernetic este evaluat de entitatea afectată ca având un nivel de criticalitate care variază de la „ridicat” la „critic” conform metodologiei de clasificare a atacurilor cibernetice în temeiul articolului 37 alineatul (8). Punctul unic de contact la nivel de entitate desemnat în temeiul alineatului (1) litera (c) comunică clasificarea incidentelor.

(5)   În cazul în care entitățile cu impact critic și entitățile cu impact ridicat notifică unei echipe CSIRT informații relevante legate de vulnerabilitățile necorectate exploatate activ, aceasta din urmă poate transmite aceste informații autorității sale competente. Având în vedere nivelul de sensibilitate al informațiilor notificate, echipa CSIRT poate refuza transmiterea informațiilor sau poate întârzia transmiterea lor din motive justificate legate de securitatea cibernetică.

(6)   Fiecare entitate cu impact critic și fiecare entitate cu impact ridicat furnizează fără întârzieri nejustificate echipelor sale CSIRT orice informații legate de o amenințare cibernetică raportabilă care ar putea avea un efect transfrontalier. Informațiile referitoare la o amenințare cibernetică sunt considerate raportabile atunci când este îndeplinită cel puțin una dintre următoarele condiții:

(7)   Atunci când face schimb de informații în temeiul prezentului articol, fiecare entitate cu impact critic și fiecare entitate cu impact ridicat specifică următoarele:

(8)   Atunci când o entitate critică sau o entitate cu impact ridicat notifică un incident semnificativ în temeiul articolului 23 din Directiva (UE) 2022/2555, iar raportarea incidentelor în temeiul articolului respectiv conține informații relevante, astfel cum se prevede la alineatul (3) din prezentul articol, raportarea entității în temeiul articolului 23 alineatul (1) din directiva respectivă constituie raportarea informațiilor în temeiul alineatului (3) din prezentul articol.

(9)   Fiecare entitate cu impact critic și fiecare entitate cu impact ridicat raportează autorității sale competente sau echipei CSIRT, identificând clar informațiile specifice care trebuie comunicate autorității competente sau echipei CSIRT numai în cazurile în care schimbul de informații ar putea fi sursa unui atac cibernetic. Fiecare entitate cu impact critic și fiecare entitate cu impact ridicat are dreptul de a furniza echipei CSIRT competente o versiune neconfidențială a informațiilor.

(1)   Entitățile cu impact critic și entitățile cu impact ridicat dezvoltă capacitățile necesare pentru a gestiona atacurile cibernetice detectate cu sprijinul necesar din partea autorității competente relevante, a ENTSO pentru energie electrică și a entității OSD UE. Entitățile cu impact critic și entitățile cu impact ridicat pot fi sprijinite de echipa CSIRT desemnată în statul lor membru respectiv ca parte a sarcinii atribuite echipelor CSIRT prin articolul 11 alineatul (5) litera (a) din Directiva (UE) 2022/2555. Entitățile cu impact critic și entitățile cu impact ridicat implementează procese eficace de identificare, clasificare și răspuns la atacurile cibernetice care vor afecta sau pot afecta fluxurile transfrontaliere de energie electrică, pentru a reduce la minimum impactul acestora.

(2)   În cazul în care un atac cibernetic afectează fluxurile transfrontaliere de energie electrică, punctele unice de contact la nivel de entitate ale entităților cu impact critic și ale entităților cu impact ridicat afectate cooperează pentru a face schimb de informații, coordonate de autoritatea competentă a statului membru în care a fost raportat pentru prima dată atacul cibernetic.

(3)   Entitățile cu impact critic și entitățile cu impact ridicat:

(4)   Sarcinile menționate la alineatul (1) pot fi delegate de statele membre și centrelor de coordonare regionale, în conformitate cu articolul 37 alineatul (2) din Regulamentul (UE) 2019/943.

(1)   Atunci când autoritatea competentă stabilește că o criză de energie electrică este legată de un atac cibernetic care afectează mai multe state membre, autoritățile competente din statele membre afectate, ANC-SC (autoritățile competente în domeniul securității cibernetice în sectorul energetic), ANC-PR (autoritățile competente în domeniul pregătirii pentru riscuri) și autoritățile de gestionare a crizelor cibernetice NIS din statele membre afectate creează în comun un grup ad-hoc de coordonare transfrontalieră a crizelor.

(2)   Grupul ad-hoc de coordonare transfrontalieră a crizelor:

(3)   În cazul în care atacul cibernetic se califică sau se preconizează că va fi calificat drept incident de securitate cibernetică de mare amploare, grupul ad-hoc de coordonare transfrontalieră a crizelor informează imediat autoritățile naționale de gestionare a crizelor cibernetice în conformitate cu articolul 9 alineatul (1) din Directiva (UE) 2022/2555 din statele membre afectate de incident, precum și Comisia și EU CyCLONe. Într-o astfel de situație, grupul ad-hoc de coordonare transfrontalieră a crizelor sprijină rețeaua EU CyCLONe în ceea ce privește particularitățile sectoriale.

(4)   Entitățile cu impact critic și entitățile cu impact ridicat dezvoltă și au la dispoziție capacități, orientări interne, planuri de pregătire și personal care să participe la detectarea și la atenuarea crizelor transfrontaliere. Entitatea cu impact critic sau entitatea cu impact ridicat afectată de o criză simultană de energie electrică investighează cauza principală a unei astfel de crize în cooperare cu autoritatea sa competentă pentru a stabili măsura în care criza este legată de un atac cibernetic.

(5)   Sarcinile menționate la alineatul (4) pot fi delegate de statele membre și centrelor de coordonare regionale, în conformitate cu articolul 37 alineatul (2) din Regulamentul (UE) 2019/943.

(1)   În termen de 24 de luni de la notificarea către ACER a raportului de evaluare a riscurilor la nivelul Uniunii, ACER, în strânsă cooperare cu ENISA, ENTSO pentru energie electrică, entitatea OSD UE, ANC-SC, autoritățile competente, ANC-PR, ANR și autoritățile naționale NIS de gestionare a crizelor cibernetice, elaborează un plan de gestionare și răspuns la crizele de securitate cibernetică la nivelul Uniunii pentru sectorul energiei electrice.

(2)   În termen de 12 luni de la elaborarea de către ACER a planului de gestionare și răspuns la crizele de securitate cibernetică la nivelul Uniunii pentru sectorul energiei electrice în temeiul alineatului (1), fiecare autoritate competentă elaborează un plan național de gestionare și răspuns la crizele de securitate cibernetică pentru fluxurile transfrontaliere de energie electrică, ținând seama de planul de gestionare a crizelor de securitate cibernetică la nivelul Uniunii și de planul național de pregătire pentru riscuri instituit în conformitate cu articolul 10 din Regulamentul (UE) 2019/941. Acest plan trebuie să fie în concordanță cu planul de răspuns la incidente de securitate cibernetică de mare amploare și crize în temeiul articolului 9 alineatul (4) din Directiva (UE) 2022/2555. Autoritatea competentă se coordonează cu entitățile cu impact critic și cu entitățile cu impact ridicat, precum și cu ANC-PR din statul său membru.

(3)   Planul național de răspuns la incidente de securitate cibernetică de mare amploare și crize, necesar în temeiul articolului 9 alineatul (4) din Directiva (UE) 2022/2555, este considerat un plan național de gestionare a crizelor de securitate cibernetică în temeiul prezentului articol dacă include dispoziții privind gestionarea crizelor și răspunsul la acestea pentru fluxurile transfrontaliere de energie electrică.

(4)   Sarcinile enumerate la alineatele (1) și (2) pot fi delegate de statele membre și centrelor de coordonare regionale, în conformitate cu articolul 37 alineatul (2) din Regulamentul (UE) 2019/943.

(5)   Entitățile cu impact critic și entitățile cu impact ridicat se asigură că procesele lor de gestionare a crizelor legate de securitatea cibernetică:

(6)   În termen de 12 luni de la notificarea entităților cu impact ridicat și a entităților cu impact critic în temeiul articolului 24 alineatul (6) și, ulterior, o dată la trei ani, entitățile cu impact critic și entitățile cu impact ridicat elaborează un plan de gestionare a crizelor la nivel de entitate pentru o criză legată de securitatea cibernetică, care este inclus în planurile lor generale de gestionare a crizelor. Planul respectiv include cel puțin următoarele elemente:

(7)   Măsurile de gestionare a crizelor în temeiul articolului 21 alineatul (2) litera (c) din Directiva (UE) 2022/2555 sunt considerate un plan de gestionare a crizelor la nivel de entitate pentru sectorul energiei electrice în temeiul prezentului articol dacă include toate cerințele enumerate la alineatul (6).

(8)   Planurile de gestionare a crizelor sunt testate în cursul exercițiilor de securitate cibernetică menționate la articolele 43, 44 și 45.

(9)   Entitățile cu impact critic și entitățile cu impact ridicat includ planurile lor de gestionare a crizelor la nivel de entitate în planurile lor de continuitate a activității pentru procesele cu impact critic și procesele cu impact ridicat. Planurile de gestionare a crizelor la nivel de entitate includ:

(10)   Entitățile cu impact critic și entitățile cu impact ridicat își actualizează planurile de gestionare a crizelor la nivel de entitate cel puțin o dată la trei ani și ori de câte ori este necesar.

(11)   ACER actualizează planul de gestionare și răspuns la crizele de securitate cibernetică la nivelul Uniunii pentru sectorul energiei electrice, elaborat în temeiul alineatului (1), cel puțin o dată la trei ani și ori de câte ori este necesar.

(12)   Fiecare autoritate competentă actualizează planul național de gestionare și răspuns la crizele de securitate cibernetică pentru fluxurile transfrontaliere de energie electrică, elaborat în temeiul alineatului (2), cel puțin o dată la trei ani și ori de câte ori este necesar.

(13)   Entitățile cu impact critic și entitățile cu impact ridicat își testează planurile de continuitate a activității cel puțin o dată la trei ani sau după modificări majore în cadrul unui proces cu impact critic. Rezultatul testării planului de asigurare a continuității activității trebuie documentat. Entitățile cu impact critic și entitățile cu impact ridicat pot include testarea planului lor de continuitate a activității în exercițiile de securitate cibernetică.

(14)   Entitățile cu impact critic și entitățile cu impact ridicat își actualizează planul de continuitate a activității ori de câte ori este necesar și cel puțin o dată la trei ani, ținând seama de rezultatul testului.

(15)   În cazul în care un test identifică deficiențe în planul de continuitate a activității, entitatea cu impact critic și entitatea cu impact ridicat corectează deficiențele respective în termen de 180 de zile calendaristice de la testare și efectuează un nou test pentru a furniza dovezi că măsurile corective sunt eficace.

(16)   În cazul în care nu poate corecta deficiențele în termen de 180 de zile calendaristice, o entitate cu impact critic sau o entitate cu impact ridicat include motivele în raportul care urmează să fie transmis autorității sale competente în conformitate cu articolul 27.

(1)   Autoritățile competente cooperează cu ENISA pentru a dezvolta capacități de alertă timpurie de securitate cibernetică în sectorul energiei electrice (ECEAC), ca parte a asistenței acordate statelor membre în temeiul articolului 6 alineatul (2) și al articolului 7 din Regulamentul (UE) 2019/881.

(2)   ECEAC permite ENISA, atunci când îndeplinește atribuțiile enumerate la articolul 7 alineatul (7) din Regulamentul (UE) 2019/881:

(3)   Echipele CSIRT diseminează fără întârziere informațiile primite de la ENISA către entitățile în cauză, în limitele atribuțiilor lor definite la articolul 11 alineatul (3) litera (b) din Directiva (UE) 2022/2555.

(4)   ACER monitorizează eficacitatea ECEAC. ENISA acordă asistență ACER prin furnizarea tuturor informațiilor necesare, în temeiul articolului 6 alineatul (2) și al articolului 7 alineatul (1) din Regulamentul (UE) 2019/881. Analiza acestei activități de monitorizare face parte din monitorizarea prevăzută la articolul 12 din prezentul regulament.

(1)   Până la 31 decembrie din anul următor notificării entităților cu impact critic și, ulterior, o dată la trei ani, fiecare entitate cu impact critic efectuează un exercițiu de securitate cibernetică care include unul sau mai multe scenarii cu atacuri cibernetice care afectează direct sau indirect fluxurile transfrontaliere de energie electrică și în legătură cu riscurile identificate în cursul evaluărilor riscurilor în materie de securitate cibernetică la nivel de stat membru și la nivel de entitate, în conformitate cu articolul 20 și cu articolul 27.

(2)   Prin derogare de la alineatul (1), ANC-PR, după consultarea autorității competente și a autorității relevante de gestionare a crizelor cibernetice, astfel cum a fost desemnată sau stabilită în Directiva (UE) 2022/2555 în temeiul articolului 9, poate decide să organizeze un exercițiu de securitate cibernetică la nivel de stat membru, astfel cum se descrie la alineatul (1), în loc să efectueze exercițiul de securitate cibernetică la nivel de entitate. În acest sens, autoritatea competentă informează:

(3)   ANC-PR, cu sprijinul tehnic al echipelor sale CSIRT, organizează exercițiul de securitate cibernetică descris la alineatul (2) la nivel de stat membru în mod independent sau în contextul unui alt exercițiu de securitate cibernetică în statul membru respectiv. Pentru a putea grupa aceste exerciții, ANC-PR poate amâna cu un an exercițiul de securitate cibernetică la nivel de stat membru menționat la alineatul (1).

(4)   Exercițiile de securitate cibernetică la nivel de entitate și la nivel de stat membru trebuie să fie coerente cu cadrele naționale de gestionare a crizelor de securitate cibernetică, în conformitate cu articolul 9 alineatul (4) litera (d) din Directiva (UE) 2022/2555.

(5)   Până la 31 decembrie 2026 și, ulterior, o dată la trei ani, ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, pune la dispoziție un model de scenariu de exercițiu pentru efectuarea exercițiilor de securitate cibernetică la nivelul entității și al statelor membre, menționate la alineatul (1). Acest model ține seama de rezultatele celei mai recente evaluări a riscurilor în materie de securitate cibernetică la nivel de entitate și la nivel de stat membru și include principalele criterii de reușită. ENTSO pentru energie electrică și entitatea OSD UE implică ACER și ENISA în elaborarea unui astfel de model.

(1)   Până la 31 decembrie 2029 și, ulterior, o dată la trei ani, în fiecare regiune de exploatare a sistemului, ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, organizează un exercițiu regional de securitate cibernetică. Entitățile cu impact critic din regiunea de exploatare a sistemului participă la exercițiul regional de securitate cibernetică. ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, poate organiza, în locul unui exercițiu regional de securitate cibernetică, un exercițiu transregional de securitate cibernetică în mai multe regiuni de exploatare a sistemelor, în același interval de timp. Exercițiul ar trebui să țină seama de alte evaluări și scenarii existente ale riscurilor în materie de securitate cibernetică elaborate la nivelul Uniunii.

(2)   ENISA sprijină ENTSO pentru energie electrică și entitatea OSD UE la pregătirea și organizarea exercițiului de securitate cibernetică la nivel regional sau transregional.

(3)   ENTSO pentru energie electrică, în coordonare cu entitatea OSD UE, informează entitățile cu impact critic care participă la exercițiul regional sau transregional de securitate cibernetică cu șase luni înainte ca exercițiul să aibă loc.

(4)   Organizatorul unui exercițiu periodic de securitate cibernetică la nivelul Uniunii în temeiul articolului 7 alineatul (5) din Regulamentul (UE) 2019/881 sau al oricărui exercițiu obligatoriu de securitate cibernetică legat de sectorul energiei electrice în același perimetru geografic poate invita ENTSO pentru energie electrică și entitatea OSD UE să participe. În astfel de cazuri, obligația prevăzută la alineatul (1) nu se aplică, cu condiția ca toate entitățile cu impact critic din regiunea de exploatare a sistemului să participe la același exercițiu.

(5)   În cazul în care participă la un exercițiu de securitate cibernetică menționat la alineatul (4), ENTSO pentru energie electrică și entitatea OSD UE pot amâna cu un an exercițiul regional sau transregional de securitate cibernetică menționat la alineatul (1).

(6)   Până la 31 decembrie 2027 și, ulterior, o dată la trei ani, ENTSO pentru energie electrică, în coordonare cu entitatea OSD UE, pune la dispoziție un model de exercițiu pentru efectuarea exercițiilor regionale și transregionale de securitate cibernetică. Acest model ține seama de rezultatele celei mai recente evaluări a riscurilor în materie de securitate cibernetică la nivel regional și include principalele criterii de reușită. ENTSO pentru energie electrică consultă Comisia și poate solicita consiliere din partea ACER, ENISA și a Centrului Comun de Cercetare cu privire la organizarea și executarea exercițiilor regionale și transregionale de securitate cibernetică.

(1)   La cererea unei entități cu impact critic, furnizorii de servicii critice participă la exercițiile de securitate cibernetică menționate la articolul 43 alineatele (1) și (2) și la articolul 44 alineatul (1) atunci când furnizează servicii entității cu impact critic în domeniul corespunzător domeniului de aplicare al exercițiului de securitate cibernetică relevant.

(2)   Organizatorii exercițiilor de securitate cibernetică menționate la articolul 43 alineatele (1) și (2) și la articolul 44 alineatul (1), cu avizul ENISA, la cererea acestora și în temeiul articolului 7 alineatul (5) din Regulamentul (UE) 2019/881, analizează și finalizează exercițiul de securitate cibernetică relevant prin intermediul unui raport care sintetizează lecțiile învățate, adresat tuturor participanților. Raportul trebuie să conțină:

(3)   La cererea rețelei CSIRT, a Grupului de cooperare NIS sau a EU CyCLONe, organizatorii exercițiilor de securitate cibernetică menționate la articolul 43 alineatele (1) și (2) și la articolul 44 alineatul (1) partajează rezultatul exercițiului de securitate cibernetică relevant. Organizatorii comunică fiecărei entități care participă la exerciții informațiile menționate la alineatul (2) literele (a) și (b) din prezentul articol. Organizatorii transmit lista de recomandări menționată la alineatul respectiv litera (c) numai entităților cărora li se adresează recomandările.

(4)   Organizatorii exercițiilor de securitate cibernetică menționate la articolul 43 alineatele (1) și (2) și la articolul 44 alineatul (1) urmăresc periodic, împreună cu entitățile care participă la exerciții, punerea în aplicare a recomandărilor formulate în temeiul alineatului (2) litera (c) din prezentul articol.

(1)   Entitățile enumerate la articolul 2 alineatul (1) se asigură că informațiile furnizate, primite, schimbate sau transmise în temeiul prezentului regulament sunt accesibile numai pe baza principiului necesității de a cunoaște și în conformitate cu normele relevante ale Uniunii și cu normele naționale privind securitatea informațiilor.

(2)   Entitățile enumerate la articolul 2 alineatul (1) se asigură că informațiile furnizate, primite, schimbate sau transmise în temeiul prezentului regulament sunt manipulate și urmărite pe parcursul întregului ciclu de viață al informațiilor respective și că acestea pot fi publicate la sfârșitul ciclului lor de viață numai după ce au fost anonimizate.

(3)   Entitățile enumerate la articolul 2 alineatul (1) se asigură că sunt instituite toate măsurile de protecție necesare de natură organizațională și tehnică pentru a proteja confidențialitatea, integritatea, disponibilitatea și nerepudierea informațiilor furnizate, primite, schimbate sau transmise în temeiul prezentului regulament, independent de mijloacele utilizate. Măsurile de protecție:

(4)   Entitățile enumerate la articolul 2 alineatul (1) se asigură că orice persoană căreia i se acordă acces la informațiile furnizate, primite, schimbate sau transmise în temeiul prezentului regulament este informată cu privire la normele de securitate aplicabile la nivel de entitate și cu privire la măsurile și procedurile relevante pentru protecția informațiilor. Entitățile respective se asigură că persoana în cauză își recunoaște responsabilitatea de a proteja informațiile, conform instrucțiunilor din timpul informării.

(5)   Entitățile enumerate la articolul 2 alineatul (1) se asigură că accesul la informațiile furnizate, primite, schimbate sau transmise în temeiul prezentului regulament este limitat la persoanele:

(6)   Entitățile enumerate la articolul 2 alineatul (1) au acordul scris al persoanei fizice sau juridice care a creat sau a furnizat inițial informațiile, înainte de a furniza informațiile respective unui terț care nu intră în domeniul de aplicare al prezentului regulament.

(7)   O entitate menționată la articolul 2 alineatul (1) poate considera că aceste informații trebuie partajate fără a se respecta alineatele (1) și (4) din prezentul articol pentru a preveni o criză simultană de energie electrică a cărei cauză principală este legată de securitatea cibernetică sau orice criză transfrontalieră din Uniune într-un alt sector. În acest caz, entitatea:

(8)   Prin derogare de la alineatul (6) din prezentul articol, autoritățile competente pot transmite informațiile furnizate, primite, schimbate sau transmise în temeiul prezentului regulament unui terț care nu este menționat la articolul 2 alineatul (1) fără acordul prealabil scris al inițiatorului informațiilor, dar informându-l în cel mai scurt timp posibil. Înainte de a divulga orice informații furnizate, primite, schimbate sau transmise în temeiul prezentului regulament unui terț care nu este menționat la articolul 2 alineatul (1), autoritatea competentă în cauză se asigură în mod rezonabil că terțul în cauză are cunoștință de normele de securitate în vigoare și primește asigurări rezonabile că terțul în cauză poate proteja informațiile primite în conformitate cu alineatele (1)-(5) din prezentul articol. Autoritatea competentă anonimizează aceste informații fără a pierde elementele necesare pentru a informa publicul cu privire la un risc iminent și grav la adresa fluxurilor transfrontaliere de energie electrică și la posibilele măsuri de atenuare și garantează identitatea inițiatorului informațiilor. În acest caz, terțul care nu este enumerat la articolul 2 alineatul (1) protejează informațiile primite în conformitate cu dispozițiile aflate deja în vigoare la nivel de entitate sau, dacă acest lucru nu este posibil, cu dispozițiile și instrucțiunile furnizate de autoritatea competentă relevantă.

(9)   Prezentul articol nu se aplică entităților care nu sunt enumerate la articolul 2 alineatul (1) și care primesc informații în temeiul alineatului (6) din prezentul articol. În acest caz, se aplică alineatul (7) din prezentul articol sau autoritatea competentă poate furniza entității respective dispoziții scrise care să se aplice în cazurile în care se primesc informații în temeiul prezentului regulament.

(1)   Orice informație furnizată, primită, schimbată sau transmisă în temeiul prezentului regulament face obiectul condițiilor privind secretul profesional prevăzute la alineatele (2)-(5) din prezentul articol al prezentului regulament și al cerințelor prevăzute la articolul 65 din Regulamentul (UE) 2019/943. Orice informații furnizate, primite, schimbate sau transmise între entitățile enumerate în articolul 2 din prezentul regulament, în scopul punerii în aplicare a prezentului regulament, sunt protejate, ținând cont de nivelul de confidențialitate al informațiilor aplicat de inițiator.

(2)   Obligația de a păstra secretul profesional se aplică entităților enumerate la articolul 2.

(3)   ANC-SC, ANR, ANC-PR și echipele CSIRT partajează toate informațiile necesare pentru îndeplinirea sarcinilor care le revin.

(4)   Orice informații primite, schimbate sau transmise între entitățile enumerate la articolul 2 alineatul (1), în scopul punerii în aplicare a articolului 23, se anonimizează și se agregă.

(5)   Informațiile primite de orice entitate sau autoritate care intră sub incidența prezentului regulament în timpul exercitării atribuțiilor sale nu pot fi divulgate niciunei alte entități sau autorități, fără a aduce atingere cazurilor reglementate de dreptul intern, celorlalte dispoziții ale prezentului regulament sau altor acte legislative relevante ale Uniunii.

(6)   Fără a aduce atingere legislației naționale sau a Uniunii, o autoritate, o entitate sau o persoană fizică care primește informații în temeiul prezentului regulament nu le poate utiliza în niciun alt scop decât pentru îndeplinirea sarcinilor care îi revin în temeiul prezentului regulament.

(7)   ACER, după consultarea ENISA, a tuturor autorităților competente, ENTSO pentru energie electrică și a entității OSD UE emit, până la 13 iunie 2025, orientări care abordează mecanismele prin care toate entitățile enumerate la articolul 2 alineatul (1) pot face schimb de informații, în special fluxurile de comunicare avute în vedere, precum și metodele de anonimizare și de agregare a informațiilor în scopul punerii în aplicare a prezentului articol.

(8)   Informațiile care sunt confidențiale în temeiul normelor de drept intern sau al normelor UE fac obiectul unui schimb cu Comisia și cu alte autorități relevante numai în cazul în care un astfel de schimb este necesar pentru aplicarea prezentului regulament. Informațiile care fac obiectul schimbului se limitează la informații necesare și proporționale cu scopul respectivului schimb. Schimbul de informații păstrează confidențialitatea respectivelor informații și protejează securitatea și interesele comerciale ale entităților cu impact critic sau ale entităților cu impact ridicat.

(1)   Până la aprobarea termenilor și condițiilor sau a metodologiilor menționate la articolul 6 alineatul (2) sau a planurilor menționate la articolul 6 alineatul (3), ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, elaborează orientări fără caracter obligatoriu cu privire la următoarele aspecte:

(2)   Până la 13 octombrie 2024, ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, elaborează o recomandare pentru un ECII provizoriu. ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, notifică ECII provizoriu recomandat autorităților competente.

(3)   La patru luni de la primirea ECII provizoriu recomandat sau cel târziu până la 13 februarie 2025, autoritățile competente identifică candidații pentru entitățile cu impact ridicat și pentru entitățile cu impact critic din statul lor membru pe baza ECII recomandați și elaborează o listă provizorie a entităților cu impact ridicat și a entităților cu impact critic. Entitățile cu impact ridicat și entitățile cu impact critic identificate în lista provizorie își pot îndeplini în mod voluntar obligațiile prevăzute în prezentul regulament, pe baza principiului precauției. Până la 13 martie 2025, autoritățile competente notifică entităților identificate în lista provizorie faptul că au fost identificate ca entități cu impact ridicat sau ca entități cu impact critic.

(4)   Până la 13 decembrie 2024, ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, elaborează o listă provizorie a proceselor cu impact ridicat și a proceselor cu impact critic la nivelul Uniunii. Entitățile notificate în temeiul alineatului (3) care decid în mod voluntar să își îndeplinească obligațiile prevăzute în prezentul regulament pe baza principiului precauției utilizează lista provizorie a proceselor cu impact ridicat și a proceselor cu impact critic pentru a determina perimetrele provizorii cu impact ridicat și cele cu impact critic și pentru a stabili activele care urmează să fie incluse în prima evaluare a riscurilor în materie de securitate cibernetică la nivel de entitate.

(5)   Până la 13 septembrie 2024, fiecare autoritate competentă în conformitate cu articolul 4 alineatul (1) furnizează ENTSO pentru energie electrică și entității OSD UE o listă a legislației sale naționale relevante pentru aspectele de securitate cibernetică a fluxurilor transfrontaliere de energie electrică.

(6)   Până la 13 iunie 2025, ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, pregătește o listă provizorie a standardelor și controalelor europene și internaționale impuse de legislația națională relevantă pentru aspectele de securitate cibernetică a fluxurilor transfrontaliere de energie electrică, ținând seama de informațiile furnizate de autoritățile competente.

(7)   Lista provizorie a standardelor și controalelor europene și internaționale include:

(8)   ENTSO pentru energie electrică și entitatea OSD UE țin seama de opiniile exprimate de ENISA și ACER atunci când finalizează lista provizorie a standardelor. ENTSO pentru energie electrică și entitatea OSD UE publică lista tranzitorie a standardelor și controalelor europene și internaționale pe site-urile lor web.

(9)   ENTSO pentru energie electrică și entitatea OSD UE consultă ENISA și ACER cu privire la propunerile de orientări fără caracter obligatoriu elaborate în temeiul alineatului (1).

(10)   Până la elaborarea controalelor minime și a controalelor avansate de securitate cibernetică în temeiul articolului 29 și până la adoptarea acestora în temeiul articolului 8, toate entitățile enumerate la articolul 2 alineatul (1) depun eforturi pentru a aplica treptat orientările fără caracter obligatoriu elaborate în temeiul alineatului (1).