02024R1366 — RO — 14.09.2025 — 001.001
Acest document are doar scop informativ și nu produce efecte juridice. Instituțiile Uniunii nu își asumă răspunderea pentru conținutul său. Versiunile autentice ale actelor relevante, inclusiv preambulul acestora, sunt cele publicate în Jurnalul Oficial al Uniunii Europene și disponibile pe site-ul EUR-Lex. Aceste texte oficiale pot fi consultate accesând linkurile integrate în prezentul document.
|
REGULAMENTUL DELEGAT (UE) 2024/1366 AL COMISIEI din 11 martie 2024 de completare a Regulamentului (UE) 2019/943 al Parlamentului European și al Consiliului prin stabilirea unui cod de rețea privind normele sectoriale pentru aspectele legate de securitatea cibernetică a fluxurilor transfrontaliere de energie electrică (Text cu relevanță pentru SEE) (JO L 1366 24.5.2024, p. 1) |
Astfel cum a fost modificat prin:
|
|
|
Jurnalul Oficial |
||
|
NR. |
Pagina |
Data |
||
|
REGULAMENTUL DELEGAT (UE) 2025/1759 AL COMISIEI din 19 iunie 2025 |
L 1759 |
1 |
25.8.2025 |
|
REGULAMENTUL DELEGAT (UE) 2024/1366 AL COMISIEI
din 11 martie 2024
de completare a Regulamentului (UE) 2019/943 al Parlamentului European și al Consiliului prin stabilirea unui cod de rețea privind normele sectoriale pentru aspectele legate de securitatea cibernetică a fluxurilor transfrontaliere de energie electrică
(Text cu relevanță pentru SEE)
CAPITOLUL I
DISPOZIȚII GENERALE
Articolul 1
Obiect
Prezentul regulament stabilește un cod de rețea care prevede norme sectoriale specifice pentru aspectele legate de securitatea cibernetică a fluxurilor transfrontaliere de energie electrică, inclusiv norme privind cerințele minime comune, planificarea, monitorizarea, raportarea și gestionarea crizelor.
Articolul 2
Domeniu de aplicare
Prezentul regulament se aplică aspectelor legate de securitatea cibernetică a fluxurilor transfrontaliere de energie electrică în cadrul activităților următoarelor entități, dacă acestea sunt identificate ca entități cu impact ridicat sau ca entități cu impact critic în conformitate cu articolul 24:
întreprinderi din domeniul energiei electrice, în sensul definiției de la articolul 2 punctul 57 din Directiva (UE) 2019/944;
operatori ai pieței de energie electrică desemnați („OPEED”), în sensul definiției de la articolul 2 punctul 8 din Regulamentul (UE) 2019/943;
„piețe organizate”, astfel cum sunt definite la articolul 2 punctul 4 din Regulamentul de punere în aplicare (UE) nr. 1348/2014 al Comisiei ( 1 ), care organizează tranzacții cu produse relevante pentru fluxurile transfrontaliere de energie electrică;
furnizorii critici de servicii TIC, astfel cum sunt menționați la articolul 3 punctul 9 din prezentul regulament;
ENTSO pentru energie electrică, instituită în temeiul articolului 28 din Regulamentul (UE) 2019/943;
entitatea OSD UE, instituită în temeiul articolului 52 din Regulamentul (UE) 2019/943;
părțile responsabile cu echilibrarea, în sensul definiției de la articolul 2 punctul 14 din Regulamentul (UE) 2019/943;
operatorii unui punct de reîncărcare, astfel cum sunt definiți în anexa I la Directiva (UE) 2022/2555;
centrele de coordonare regionale, instituite în temeiul articolului 35 din Regulamentul (UE) 2019/943;
furnizorii de servicii de securitate gestionate, în sensul definiției de la articolul 6 punctul 40 din Directiva (UE) 2022/2555;
orice altă entitate sau terț căruia i-au fost delegate sau atribuite responsabilități în temeiul prezentului regulament.
Următoarele autorități sunt responsabile, în cadrul mandatelor lor actuale, cu îndeplinirea sarcinilor atribuite prin prezentul regulament:
Agenția Uniunii Europene pentru Cooperarea Autorităților de Reglementare din Domeniul Energiei („ACER”), instituită prin Regulamentul (UE) 2019/942 al Parlamentului European și al Consiliului ( 2 );
autoritățile naționale competente responsabile cu îndeplinirea sarcinilor care le-au fost atribuite în temeiul prezentului regulament și desemnate de statele membre în temeiul articolului 4 sau „autorității competente”;
autoritățile naționale de reglementare (denumite în continuare „ANR”) desemnate de fiecare stat membru în temeiul articolului 57 alineatul (1) din Directiva (UE) 2019/944;
autoritățile competente în domeniul pregătirii pentru riscuri („ANC-PR”), instituite în temeiul articolului 3 din Regulamentul (UE) 2019/941;
echipele de intervenție în caz de incidente de securitate informatică („echipele CSIRT”), desemnate sau instituite în temeiul articolului 10 din Directiva (UE) 2022/2555;
autoritățile competente responsabile cu securitatea cibernetică („ANC-SC”), desemnate sau instituite în temeiul articolului 8 din Directiva (UE) 2022/2555;
Agenția Uniunii Europene pentru Securitate Cibernetică, instituită în temeiul Regulamentului (UE) 2019/881;
orice alte autorități sau orice alți terți cărora li s-au delegat sau li s-au atribuit responsabilități în temeiul articolului 4 alineatul (3).
Articolul 3
Definiții
Se aplică următoarele definiții:
„activ” înseamnă orice informații, software sau hardware din rețea și din sistemele informatice, fie ele corporale sau necorporale, care au valoare pentru o persoană fizică, o organizație sau o administrație publică;
„autoritate competentă în domeniul pregătirii pentru riscuri” înseamnă autoritatea competentă desemnată în temeiul articolului 3 din Regulamentul (UE) 2019/941;
„echipă de intervenție în caz de incidente de securitate informatică” înseamnă o echipă responsabilă cu gestionarea riscurilor și a incidentelor în conformitate cu articolul 10 din Directiva (UE) 2022/2555;
„activ cu impact critic” înseamnă un activ care este necesar pentru desfășurarea unui proces cu impact critic;
„entitate cu impact critic” înseamnă o entitate care desfășoară un proces cu impact critic și care este identificată de autoritățile competente în conformitate cu articolul 24;
„perimetru cu impact critic” înseamnă un perimetru definit de o entitate menționată la articolul 2 alineatul (1), care conține toate activele cu impact critic, în cadrul căruia accesul la aceste active poate fi controlat și care definește domeniul de aplicare al controalelor avansate de securitate cibernetică;
„proces cu impact critic” înseamnă un proces operațional desfășurat de o entitate în cazul căreia indicii de impact în materie de securitate cibernetică în domeniul energiei electrice depășesc pragul de impact critic;
„prag de impact critic” înseamnă valorile indicilor de impact în materie de securitate cibernetică în domeniul energiei electrice menționați la articolul 19 alineatul (3) litera (b), peste care un atac cibernetic asupra unui proces operațional va cauza perturbări critice ale fluxurilor transfrontaliere de energie electrică;
„furnizor critic de servicii TIC” înseamnă o entitate care furnizează un serviciu TIC sau un proces TIC care este necesar pentru un proces cu impact critic sau pentru un proces cu impact ridicat care afectează aspectele legate de securitatea cibernetică a fluxurilor transfrontaliere de energie electrică și care, dacă este compromis, poate cauza un atac cibernetic al cărui impact ar depăși pragul de impact critic sau pragul de impact ridicat;
„flux transfrontalier de energie electrică” înseamnă un flux transfrontalier în sensul definiției de la articolul 2 punctul 3 din Regulamentul (UE) 2019/943;
„atac cibernetic” înseamnă un incident în sensul definiției de la articolul 3 punctul 14 din Regulamentul (UE) 2022/2554;
„securitate cibernetică” înseamnă securitate cibernetică astfel cum este definită la articolul 2 punctul 1 din Regulamentul (UE) 2019/881;
„control de securitate cibernetică” înseamnă acțiunile sau procedurile desfășurate cu scopul de a evita, de a detecta, de a contracara sau de a reduce la minimum riscurile în materie de securitate cibernetică;
„incident de securitate cibernetică” înseamnă un incident astfel cum este definit la articolul 6 punctul 6 din Directiva (UE) 2022/2555;
„sistem de gestionare a securității cibernetice” înseamnă politicile, procedurile, orientările și resursele și activitățile asociate, gestionate în mod colectiv de o entitate în vederea protejării activelor sale informaționale împotriva amenințărilor cibernetice, care instituie, pun în aplicare, operează, monitorizează, revizuiesc, întrețin și îmbunătățesc în mod sistematic securitatea rețelelor și a sistemelor informatice ale unei organizații;
„centru de operațiuni de securitate cibernetică” înseamnă un centru special în care o echipă tehnică formată din unul sau mai mulți experți, sprijinită de sisteme informatice de securitate cibernetică, îndeplinește sarcini legate de securitate [servicii ale centrului de operațiuni de securitate cibernetică („CSOC”)], cum ar fi gestionarea atacurilor cibernetice și a erorilor de configurare a securității, monitorizarea securității, analiza jurnalelor și detectarea atacurilor cibernetice;
„amenințare cibernetică” înseamnă o amenințare cibernetică astfel cum este definită la articolul 2 punctul 8 din Regulamentul (UE) 2019/881;
„gestionarea vulnerabilităților în materie de securitate cibernetică” înseamnă practica de identificare și de soluționare a vulnerabilităților;
„entitate” înseamnă o entitate astfel cum este definită la articolul 6 punctul 38 din Directiva (UE) 2022/2555;
„alertă timpurie” înseamnă informațiile necesare pentru a se indica dacă incidentul semnificativ este suspectat de a fi cauzat de acte ilegale sau răuvoitoare sau ar putea avea un impact transfrontalier;
„indice de impact în materie de securitate cibernetică în domeniul energiei electrice” („ECII”) înseamnă un indice sau o grilă de clasificare care ierarhizează posibilele consecințe ale atacurilor cibernetice asupra proceselor operaționale implicate în fluxurile transfrontaliere de energie electrică;
„sistem european de certificare a securității cibernetice” înseamnă un sistem în sensul definiției de la articolul 2 punctul 9 din Regulamentul (UE) 2019/881;
„entitate cu impact ridicat” înseamnă o entitate care desfășoară un proces cu impact ridicat și care este identificată de autoritățile competente în conformitate cu articolul 24;
„proces cu impact ridicat” înseamnă un proces operațional desfășurat de o entitate pentru care indicii de impact în materie de securitate cibernetică în domeniul energiei electrice se situează peste pragul de impact ridicat;
„activ cu impact ridicat” înseamnă un activ care este necesar pentru desfășurarea unui proces cu impact ridicat;
„prag de impact ridicat” înseamnă valorile indicilor de impact în materie de securitate cibernetică în domeniul energiei electrice menționați la articolul 19 alineatul (3) litera (b), peste care un atac cibernetic reușit asupra unui proces operațional va cauza perturbări ridicate ale fluxurilor transfrontaliere de energie electrică;
„perimetru cu impact ridicat” înseamnă un perimetru definit de o entitate menționată la articolul 2 alineatul (1), care conține toate activele cu impact ridicat, în cadrul căruia accesul la aceste active poate fi controlat și care definește domeniul de aplicare al controalelor avansate de securitate cibernetică;
„produs TIC” înseamnă un produs TIC astfel cum este definit la articolul 2 punctul 12 din Regulamentul (UE) 2019/881;
„serviciu TIC” înseamnă un serviciu TIC astfel cum este definit la articolul 2 punctul 13 din Regulamentul (UE) 2019/881;
„proces TIC” înseamnă un proces TIC astfel cum este definit la articolul 2 punctul 14 din Regulamentul (UE) 2019/881;
„sistem moștenit” înseamnă un sistem TIC moștenit astfel cum este definit la articolul 3 punctul 3 din Regulamentul (UE) 2022/2554;
„punct unic de contact național” înseamnă punctul unic de contact desemnat sau instituit de fiecare stat membru în temeiul articolului 8 alineatul (3) din Directiva (UE) 2022/2555;
„autorități de gestionare a crizelor cibernetice NIS” înseamnă autoritățile desemnate sau instituite în temeiul articolului 9 alineatul (1) din Directiva (UE) 2022/2555;
„inițiator” înseamnă o entitate care inițiază un eveniment de schimb de informații, de partajare de informații sau de stocare a informațiilor;
„specificații privind achizițiile publice” înseamnă specificațiile pe care entitățile le definesc pentru achiziționarea de produse TIC, de procese TIC sau de servicii TIC noi sau actualizate;
„reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune care este desemnată în mod explicit să acționeze în numele unei entități cu impact ridicat sau al unei entități cu impact critic care nu este stabilită în Uniune, dar care furnizează servicii unor entități din Uniune, persoană care poate fi contactată de o autoritate competentă sau de o echipă CSIRT în locul entității cu impact ridicat sau al entității cu impact critic înseși, în legătură cu obligațiile care îi revin entității respective în temeiul prezentului regulament;
„risc” înseamnă risc în sensul definiției de la articolul 6 punctul 9 din Directiva (UE) 2022/2555;
„matrice de evaluare a impactului riscurilor” înseamnă o matrice utilizată în timpul evaluării riscurilor pentru a determina nivelul de impact al riscului rezultat pentru fiecare risc evaluat;
„criză simultană de energie electrică” înseamnă o criză de energie electrică în sensul definiției de la articolul 2 punctul 10 din Regulamentul (UE) 2019/941;
„punct unic de contact la nivel de entitate” înseamnă un punct unic de contact la nivel de entitate, astfel cum este desemnat în temeiul articolului 38 alineatul (1) litera (c);
„parte interesată” înseamnă orice parte care are un interes în succesul și funcționarea continuă a unei organizații sau a unui proces, cum ar fi angajați, directori, acționari, autorități de reglementare, asociații, furnizori și clienți;
„standard” înseamnă un standard în sensul definiției de la articolul 2 punctul 1 litera (c) din Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului ( 3 );
„regiune de exploatare a sistemului” înseamnă o regiune de exploatare a sistemului în sensul definiției din anexa I la Decizia ACER 05-2022 privind definirea regiunilor de exploatare a sistemului, stabilite în conformitate cu articolul 36 din Regulamentul (UE) 2019/943;
„operatori de sistem” înseamnă „operator de distribuție” și „operator de transport și de sistem” în sensul definițiilor de la articolul 2 punctele 29 și 35 din Directiva (UE) 2019/944;
„proces cu impact critic la nivelul Uniunii” înseamnă orice proces din sectorul energiei electrice care poate implica mai multe entități pentru care posibilul impact al unui atac cibernetic poate fi considerat critic în timpul efectuării evaluării riscurilor în materie de securitate cibernetică la nivelul Uniunii;
„proces cu impact ridicat la nivelul Uniunii” înseamnă orice proces din sectorul energiei electrice care poate implica mai multe entități pentru care posibilul impact al unui atac cibernetic poate fi considerat ridicat în timpul efectuării evaluării riscurilor în materie de securitate cibernetică la nivelul Uniunii;
„vulnerabilitate necorectată exploatată activ” înseamnă o vulnerabilitate care nu a fost încă divulgată și corectată în mod public și în cazul căreia există dovezi fiabile că executarea unui cod dăunător a fost efectuată de un actor asupra unui sistem fără permisiunea proprietarului sistemului;
„vulnerabilitate” înseamnă o vulnerabilitate în sensul definiției de la articolul 6 punctul 15 din Directiva (UE) 2022/2555.
Articolul 4
Autoritatea competentă
Articolul 5
Cooperarea dintre autoritățile și organismele relevante de la nivel național
Autoritățile competente coordonează și asigură o cooperare adecvată între autoritățile competente responsabile cu securitatea cibernetică, autoritățile de gestionare a crizelor cibernetice, ANR-uri, autoritățile competente în domeniul pregătirii pentru riscuri și echipele CSIRT, în scopul îndeplinirii obligațiilor relevante prevăzute în prezentul regulament. Autoritățile competente se coordonează, de asemenea, cu orice alte organisme sau autorități, astfel cum sunt stabilite de fiecare stat membru, pentru a asigura proceduri eficiente și pentru a evita duplicarea sarcinilor și a obligațiilor. Autoritățile competente trebuie să fie în măsură să instruiască ANR-urile respective să solicite un aviz în temeiul articolului 8 alineatul (3) din partea ACER.
Articolul 6
Termeni și condiții sau metodologii ori planuri
Termenii și condițiile sau metodologiile următoare, precum și orice modificări ale acestora, fac obiectul aprobării de către toate autoritățile competente:
metodologiile de evaluare a riscurilor în materie de securitate cibernetică, în temeiul articolului 18 alineatul (1);
raportul cuprinzător de evaluare a riscurilor în materie de securitate cibernetică a fluxurilor transfrontaliere de energie electrică, în temeiul articolului 23;
controalele minime și controalele avansate de securitate cibernetică în temeiul articolului 29, punerea în corespondență a controalelor de securitate cibernetică în domeniul energiei electrice cu standardele în temeiul articolului 34, inclusiv a controalelor minime și a controalelor avansate de securitate cibernetică din cadrul lanțului de aprovizionare, în conformitate cu articolul 33;
o recomandare privind achizițiile publice în domeniul securității cibernetice, în temeiul articolului 35;
metodologia grilei de clasificare a atacurilor cibernetice, în temeiul articolului 37 alineatul (8).
Articolul 7
Modalități de vot pentru OST
În cazul în care nu reușesc să ajungă la un acord, OST care trebuie să decidă cu privire la propunerile de termeni și condiții sau metodologii decid prin vot cu majoritate calificată. În cazul unor astfel de propuneri, majoritatea calificată se calculează după cum urmează:
OST reprezentând cel puțin 55 % dintre statele membre și
OST reprezentând state membre care cuprind cel puțin 65 % din populația Uniunii.
În cazul în care OST dintr-o regiune de exploatare a sistemului care trebuie să decidă cu privire la propunerile de planuri enumerate la articolul 6 alineatul (2) nu reușesc să ajungă la un acord și în cazul în care regiunea în cauză de exploatare a sistemului este compusă din mai mult de cinci state membre, OST decid prin vot cu majoritate calificată. Majoritatea calificată pentru propunerile enumerate la articolul 6 alineatul (2) se calculează după cum urmează:
OST reprezentând cel puțin 72 % dintre statele membre vizate și
OST reprezentând state membre care cuprind cel puțin 65 % din populația regiunii vizate.
Articolul 8
Transmiterea propunerilor către autoritățile competente
Articolul 9
Consultare
Articolul 10
Implicarea părților interesate
ACER, în strânsă cooperare cu ENTSO pentru energie electrică și cu entitatea OSD UE, organizează implicarea părților interesate, inclusiv reuniuni periodice cu părțile interesate, pentru a identifica problemele și a propune îmbunătățiri legate de punerea în aplicare a prezentului regulament.
Articolul 11
Recuperarea costurilor
Articolul 12
Monitorizare
ACER publică un raport cel puțin o dată la trei ani după intrarea în vigoare a prezentului regulament pentru:
a reexamina stadiul punerii în aplicare a măsurilor aplicabile de gestionare a riscurilor în materie de securitate cibernetică în ceea ce privește entitățile cu impact ridicat și entitățile cu impact critic;
a identifica dacă este posibil să fie necesare norme suplimentare privind cerințele comune, planificarea, monitorizarea, raportarea și gestionarea crizelor pentru a preveni riscurile la adresa sectorului energiei electrice și
a identifica domeniile în care se pot aduce îmbunătățiri în vederea revizuirii prezentului regulament sau a stabili domeniile nedescoperite și noile priorități care pot apărea ca urmare a evoluțiilor tehnologice.
Articolul 13
Analiză comparativă
În termen de 12 luni de la elaborarea ghidului de analiză comparativă în temeiul alineatului (1), ANR-urile efectuează o analiză comparativă pentru a evalua dacă investițiile actuale în securitatea cibernetică:
atenuează riscurile care au un impact asupra fluxurilor transfrontaliere de energie electrică;
conduc la rezultatele dorite și generează câștiguri în materie de eficiență pentru dezvoltarea sistemelor de energie electrică;
sunt eficiente și integrate în achizițiile publice globale de active și servicii.
Pentru efectuarea analizei comparative, ANR-urile pot lua în considerare ghidul fără caracter obligatoriu de analiză comparativă în materie de securitate cibernetică elaborat de ACER și evaluează în special:
cheltuielile medii legate de securitatea cibernetică pentru atenuarea riscurilor care au un impact asupra fluxurilor transfrontaliere de energie electrică, în special în ceea ce privește entitățile cu impact ridicat și entitățile cu impact critic;
în cooperare cu ENTSO pentru energie electrică și cu entitatea OSD UE, prețurile medii ale serviciilor, sistemelor și produselor de securitate cibernetică ce contribuie în mare măsură la îmbunătățirea și menținerea măsurilor de gestionare a riscurilor în materie de securitate cibernetică în diferitele regiuni de exploatare a sistemului;
existența și nivelul de comparabilitate ale costurilor și funcțiilor aferente serviciilor, sistemelor și soluțiilor de securitate cibernetică adecvate pentru punerea în aplicare a prezentului regulament, identificând eventualele măsuri necesare pentru a promova eficiența în materie de cheltuieli, în special în cazul în care ar putea fi necesare investiții tehnologice în domeniul securității cibernetice.
Articolul 14
Acorduri cu OST din afara Uniunii
Articolul 15
Reprezentanți legali
Articolul 16
Cooperarea dintre ENTSO pentru energie electrică și entitatea OSD UE
ENTSO pentru energie electrică și entitatea OSD UE cooperează în vederea efectuării evaluărilor riscurilor în materie de securitate cibernetică în temeiul articolelor 19 și 21, în special pentru îndeplinirea următoarelor sarcini:
elaborarea de metodologii de evaluare a riscurilor în materie de securitate cibernetică, în temeiul articolului 18 alineatul (1);
elaborarea raportului cuprinzător de evaluare a riscurilor în materie de securitate cibernetică a fluxurilor transfrontaliere de energie electrică, în temeiul articolului 23;
elaborarea cadrului comun de securitate cibernetică în domeniul energiei electrice în temeiul capitolului III;
elaborarea unei recomandări privind achizițiile publice în domeniul securității cibernetice, în temeiul articolului 35;
elaborarea metodologiei grilei de clasificare a atacurilor cibernetice, în temeiul articolului 37 alineatul (8);
elaborarea indicelui provizoriu de impact în materie de securitate cibernetică în domeniul energiei electrice („ECII”) în temeiul articolului 48 alineatul (1) litera (a);
elaborarea listei provizorii consolidate a entităților cu impact ridicat și a entităților cu impact critic în conformitate cu articolul 48 alineatul (3);
elaborarea listei provizorii consolidate a proceselor cu impact ridicat și a proceselor cu impact critic la nivelul Uniunii, în conformitate cu articolul 48 alineatul (4);
elaborarea listei provizorii de standarde și controale europene și internaționale în conformitate cu articolul 48 alineatul (6);
efectuarea evaluării riscurilor în materie de securitate cibernetică la nivelul Uniunii în temeiul articolului 19;
efectuarea evaluării riscurilor în materie de securitate cibernetică la nivel regional în temeiul articolului 21;
definirea planurilor regionale de atenuare a riscurilor în materie de securitate cibernetică în temeiul articolului 22;
elaborarea de orientări privind sistemele europene de certificare a securității cibernetice pentru achiziționarea de produse TIC, servicii TIC și procese TIC în conformitate cu articolul 36;
elaborarea de orientări pentru punerea în aplicare a prezentului regulament, în consultare cu ACER și ENISA.
Articolul 17
Cooperarea dintre ACER și autoritățile competente
ACER, în cooperare cu fiecare autoritate competentă:
monitorizează punerea în aplicare a măsurilor de gestionare a riscurilor în materie de securitate cibernetică în temeiul articolului 12 alineatul (2) litera (a) și a obligațiilor de raportare în temeiul articolelor 27 și 39 și
monitorizează procesul de adoptare și implementarea termenilor și condițiilor sau metodologiilor ori a planurilor în temeiul articolului 6 alineatele (2) și (3). Cooperarea dintre ACER, ENISA și fiecare autoritate competentă poate lua forma unui organism de monitorizare a riscurilor în materie de securitate cibernetică.
CAPITOLUL II
EVALUAREA RISCURILOR ȘI IDENTIFICAREA RISCURILOR RELEVANTE ÎN MATERIE DE SECURITATE CIBERNETICĂ
Articolul 18
Metodologii de evaluare a riscurilor în materie de securitate cibernetică
Metodologiile de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii, la nivel regional și la nivel de stat membru includ:
o listă a amenințărilor cibernetice care trebuie avute în vedere, care să includă cel puțin următoarele amenințări la nivelul lanțului de aprovizionare:
o corupere gravă și neașteptată a lanțului de aprovizionare;
indisponibilitatea produselor TIC, a serviciilor TIC sau a proceselor TIC din lanțul de aprovizionare;
atacuri cibernetice inițiate prin intermediul actorilor din lanțul de aprovizionare;
scurgeri de informații sensibile prin intermediul lanțului de aprovizionare, inclusiv urmărirea lanțului de aprovizionare;
introducerea unor deficiențe sau a unor uși secrete în produsele TIC, serviciile TIC sau procesele TIC prin intermediul actorilor din lanțul de aprovizionare;
criteriile de evaluare ca ridicat sau critic a impactului riscurilor în materie de securitate cibernetică, utilizând praguri definite pentru consecințe și probabilitate;
o abordare pentru a analiza riscurile în materie de securitate cibernetică generate de sistemele moștenite, de efectele de cascadă ale atacurilor cibernetice și de funcționarea în timp real a sistemelor care operează rețeaua;
o abordare pentru a analiza riscurile în materie de securitate cibernetică generate de dependența de un singur furnizor de produse TIC, de servicii TIC sau de procese TIC.
Metodologiile de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii, la nivel regional și la nivel de stat membru evaluează riscurile în materie de securitate cibernetică utilizând aceeași matrice de evaluare a impactului riscurilor. Matricea de evaluare a impactului riscurilor:
măsoară consecințele atacurilor cibernetice pe baza următoarelor criterii:
pierderea în sarcină;
reducerea producției de energie electrică;
pierderea de capacitate în rezerva de frecvențe de bază;
pierderea capacității de repunere în funcțiune a unei rețele electrice fără a se baza pe rețeaua externă de transport pentru a se redresa după o oprire totală sau parțială (denumită și „pornire fără alimentare din sistem”);
durata preconizată a unei întreruperi a alimentării cu energie electrică care afectează clienții, în combinație cu amploarea întreruperii exprimată ca număr de clienți și
orice alte criterii cantitative sau calitative care ar putea acționa în mod rezonabil ca indicatori ai efectului unui atac cibernetic asupra fluxurilor transfrontaliere de energie electrică;
măsurarea probabilității unui incident ca frecvență anuală a atacurilor cibernetice.
Articolul 19
Evaluarea riscurilor în materie de securitate cibernetică la nivelul Uniunii
Raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii include următoarele elemente:
procesele cu impact ridicat la nivelul Uniunii și procesele cu impact critic la nivelul Uniunii;
o matrice de evaluare a impactului riscurilor pe care entitățile și autoritățile competente o vor utiliza pentru a evalua riscurile în materie de securitate cibernetică identificate în evaluarea riscurilor în materie de securitate cibernetică la nivel de stat membru, efectuată în temeiul articolului 20, și în evaluarea riscurilor în materie de securitate cibernetică la nivel de entitate în temeiul articolului 26 alineatul (2) litera (b).
În ceea ce privește procesele cu impact ridicat la nivelul Uniunii și procesele cu impact critic la nivelul Uniunii, raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii include:
o evaluare a posibilelor consecințe ale unui atac cibernetic utilizând indicatorii definiți în metodologia de evaluare a riscurilor în materie de securitate cibernetică elaborată în temeiul articolului 18 alineatele (2), (3) și (4) și aprobată în temeiul articolului 8;
ECII și pragurile de impact ridicat și pragurile de impact critic pe care autoritățile competente le vor utiliza în temeiul articolului 24 alineatele (1) și (2) pentru a identifica entitățile cu impact ridicat și entitățile cu impact critic implicate în procesele cu impact ridicat la nivelul Uniunii și în procesele cu impact critic la nivelul Uniunii.
Articolul 20
Evaluarea riscurilor în materie de securitate cibernetică la nivel de stat membru
În termen de 21 de luni de la notificarea entităților cu impact ridicat și a entităților cu impact critic în temeiul articolului 24 alineatul (6) și, ulterior, o dată la trei ani și după consultarea ANC-SC responsabilă cu energia electrică, fiecare autoritate competentă, sprijinită de echipa CSIRT, prezintă ENTSO pentru energie electrică și entității OSD UE un raport de evaluare a riscurilor în materie de securitate cibernetică la nivel de stat membru, care conține următoarele informații pentru fiecare proces operațional cu impact ridicat și pentru fiecare proces operațional cu impact critic:
stadiul implementării controalelor minime și a controalelor avansate de securitate cibernetică în temeiul articolului 29;
o listă a tuturor atacurilor cibernetice raportate în ultimii trei ani în temeiul articolului 38 alineatul (3);
o sinteză a tuturor informațiilor referitoare la amenințări cibernetice raportate în ultimii trei ani în temeiul articolului 38 alineatul (6);
pentru fiecare proces cu impact ridicat sau proces cu impact critic la nivelul Uniunii, o estimare a riscurilor de compromitere a confidențialității, a integrității și a disponibilității informațiilor și activelor relevante;
dacă este necesar, o listă a entităților suplimentare identificate ca fiind cu impact ridicat sau cu impact critic în temeiul articolului 24 alineatele (1), (2), (3) și (5).
Articolul 21
Evaluarea riscurilor în materie de securitate cibernetică la nivel regional
Articolul 22
Planuri de atenuare a riscurilor în materie de securitate cibernetică la nivel regional
Planurile de atenuare a riscurilor în materie de securitate cibernetică la nivel regional includ:
controale minime și controale avansate de securitate cibernetică pe care entitățile cu impact ridicat și entitățile cu impact critic le aplică în regiunea de exploatare a sistemului;
riscurile reziduale în materie de securitate cibernetică în regiunile de exploatare a sistemului după aplicarea controalelor menționate la litera (a).
Articolul 23
Raportul cuprinzător de evaluare a riscurilor în materie de securitate cibernetică a fluxurilor transfrontaliere de energie electrică
Raportul cuprinzător de evaluare a riscurilor în materie de securitate cibernetică a fluxurilor transfrontaliere de energie electrică se bazează pe raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii, pe rapoartele de evaluare a riscurilor în materie de securitate cibernetică ale statelor membre și pe rapoartele de evaluare a riscurilor în materie de securitate cibernetică la nivel regional și include următoarele informații:
lista proceselor cu impact ridicat și a proceselor cu impact critic la nivelul Uniunii, identificate în raportul de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii în conformitate cu articolul 19 alineatul (2) litera (a), inclusiv estimarea probabilității și a impactului riscurilor în materie de securitate cibernetică evaluate în cursul rapoartelor de evaluare a riscurilor în materie de securitate cibernetică la nivel regional în temeiul articolului 21 alineatul (2) și al articolului 19 alineatul (3) litera (a);
amenințările cibernetice actuale, cu un accent special pe amenințările și riscurile emergente pentru sistemul de energie electrică;
atacurile cibernetice pentru perioada anterioară la nivelul Uniunii, oferind o imagine de ansamblu critică asupra modului în care astfel de atacuri cibernetice ar fi putut avea un impact asupra fluxurilor transfrontaliere de energie electrică;
stadiul general al implementării măsurilor de securitate cibernetică;
stadiul implementării fluxurilor de informații în temeiul articolelor 37 și 38;
lista informațiilor sau a criteriilor specifice pentru clasificarea informațiilor în temeiul articolului 46;
riscurile identificate și evidențiate care pot decurge din gestionarea nesigură a lanțului de aprovizionare;
rezultatele și experiențele acumulate în urma exercițiilor regionale și transregionale de securitate cibernetică organizate în temeiul articolului 44;
o analiză a evoluției riscurilor transfrontaliere globale în materie de securitate cibernetică în sectorul energiei electrice de la ultimele evaluări ale riscurilor în materie de securitate cibernetică la nivel regional;
orice alte informații care pot fi utile pentru a identifica posibile îmbunătățiri ale prezentului regulament sau necesitatea unei revizuiri a prezentului regulament sau a oricăruia dintre instrumentele sale și
informații agregate și anonimizate privind derogările acordate în temeiul articolului 30 alineatul (3).
Articolul 24
Identificarea entităților cu impact ridicat și a entităților cu impact critic
Fiecare autoritate competentă poate identifica entități suplimentare din statul său membru ca entități cu impact ridicat sau entități cu impact critic dacă sunt îndeplinite următoarele criterii:
entitatea face parte dintr-un grup de entități supuse unui risc semnificativ de a fi afectate simultan de un atac cibernetic;
ECII agregate la nivelul grupului de entități se situează peste pragul de impact ridicat sau peste pragul de impact critic.
Articolul 25
Sisteme naționale de verificare
În cazul în care decide să instituie un sistem național de verificare, autoritatea competentă se asigură că verificarea se efectuează în conformitate cu următoarele cerințe:
orice parte care efectuează evaluarea inter pares, auditul sau inspecția este independentă de entitatea cu impact critic verificată și nu se află în conflict de interese;
personalul care efectuează evaluarea inter pares, auditul sau inspecția are cunoștințe demonstrabile cu privire la:
securitatea cibernetică în sectorul energiei electrice;
sistemele de gestionare a securității cibernetice;
principiile auditului;
evaluarea riscurilor în materie de securitate cibernetică;
cadrul comun de securitate cibernetică în domeniul energiei electrice;
cadrul național legislativ și de reglementare și standardele europene și internaționale care fac obiectul verificării;
procesele cu impact critic care fac obiectul verificării;
partea care efectuează evaluarea inter pares, auditul sau inspecția are la dispoziție suficient timp pentru a desfășura aceste activități;
partea care efectuează evaluarea inter pares, auditul sau inspecția ia măsurile adecvate pentru a proteja informațiile pe care le colectează în timpul verificării, în conformitate cu nivelul de confidențialitate al acestora și
evaluările inter pares, auditurile sau inspecțiile se efectuează cel puțin o dată pe an și acoperă întreaga sferă a verificării cel puțin o dată la trei ani.
Articolul 26
Gestionarea riscurilor în materie de securitate cibernetică la nivel de entitate
Fiecare entitate cu impact ridicat și fiecare entitate cu impact critic își bazează gestionarea riscurilor în materie de securitate cibernetică pe o abordare care urmărește să le protejeze rețelele și sistemele informatice și care cuprinde următoarele etape:
stabilirea contextului;
evaluarea riscurilor în materie de securitate cibernetică la nivel de entitate;
tratarea riscurilor în materie de securitate cibernetică;
acceptarea riscurilor în materie de securitate cibernetică.
În etapa de stabilire a contextului, fiecare entitate cu impact ridicat și fiecare entitate cu impact critic:
definește sfera evaluării riscurilor în materie de securitate cibernetică, inclusiv procesele cu impact ridicat și procesele cu impact critic identificate de ENTSO pentru energie electrică și de entitatea OSD UE, precum și alte procese care pot fi vizate de atacuri cibernetice cu impact ridicat sau cu impact critic asupra fluxurilor transfrontaliere de energie electrică, și
definește criteriile de evaluare a riscurilor și criteriile de acceptare a riscurilor în conformitate cu matricea de evaluare a impactului riscurilor pe care entitățile și autoritățile competente trebuie să o utilizeze pentru a evalua riscurile în materie de securitate cibernetică din metodologiile de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii, la nivel regional și la nivel de stat membru, elaborate de ENTSO pentru energie electrică și de entitatea OSD UE în conformitate cu articolul 19 alineatul (2).
În cursul etapei de evaluare a riscurilor în materie de securitate cibernetică, fiecare entitate cu impact ridicat și fiecare entitate cu impact critic:
identifică riscurile în materie de securitate cibernetică, ținând seama de:
toate activele care sprijină procesele cu impact ridicat și procesele cu impact critic la nivelul Uniunii, cu o evaluare a impactului posibil asupra fluxurilor transfrontaliere de energie electrică în cazul în care activul este compromis;
posibilele amenințări cibernetice, ținând seama de amenințările cibernetice identificate în cel mai recent raport cuprinzător de evaluare a riscurilor în materie de securitate cibernetică a fluxurilor transfrontaliere de energie electrică la care se face referire la articolul 23, precum și de amenințările la adresa lanțului de aprovizionare;
vulnerabilitățile, inclusiv vulnerabilitățile sistemelor moștenite;
posibilele scenarii de atac cibernetic, inclusiv atacuri cibernetice care afectează securitatea operațională a sistemului de energie electrică și care perturbă fluxurile transfrontaliere de energie electrică;
evaluările relevante ale riscurilor și evaluările relevante efectuate la nivelul Uniunii, inclusiv evaluări coordonate ale riscurilor legate de lanțurile de aprovizionare critice, în conformitate cu articolul 22 din Directiva (UE) 2022/2555, și
controalele existente implementate;
analizează probabilitatea și consecințele riscurilor în materie de securitate cibernetică identificate la litera (a) și determină nivelul de risc de securitate cibernetică utilizând matricea de evaluare a impactului riscurilor utilizată pentru a evalua riscurile în materie de securitate cibernetică din metodologiile de evaluare a riscurilor în materie de securitate cibernetică la nivelul Uniunii, la nivel regional și la nivel de stat membru, elaborate de OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE în conformitate cu articolul 19 alineatul (2);
clasifică activele în funcție de posibilele consecințe atunci când este compromisă securitatea cibernetică și determină perimetrul cu impact ridicat și perimetrul cu impact critic utilizând următoarele etape:
efectuează, pentru toate procesele care fac obiectul evaluării riscurilor în materie de securitate cibernetică, o evaluare a impactului asupra activității utilizând ECII;
clasifică un proces ca având un impact ridicat sau un impact critic dacă ECII se situează peste pragul de impact ridicat sau, respectiv, peste pragul de impact critic;
determină toate activele cu impact ridicat și toate activele cu impact critic ca fiind activele necesare pentru procesele cu impact ridicat și, respectiv, pentru procesele cu impact critic;
definesc perimetrele cu impact ridicat și perimetrele cu impact critic care conțin toate activele cu impact ridicat și, respectiv, toate activele cu impact critic, astfel încât accesul la perimetre să poată fi controlat;
evaluează riscurile în materie de securitate cibernetică, ierarhizându-le prin intermediul criteriilor de evaluare a riscurilor și al criteriilor de acceptare a riscurilor menționate la alineatul (3) litera (b).
Articolul 27
Raportarea cu privire la evaluarea riscurilor la nivel de entitate
Fiecare entitate cu impact ridicat și fiecare entitate cu impact critic transmite autorității competente, în termen de 12 luni de la notificarea entităților cu impact ridicat și a entităților cu impact critic în temeiul articolului 24 alineatul (6) și, ulterior, o dată la trei ani, un raport care conține următoarele informații:
o listă a controalelor selectate pentru planul de atenuare a riscurilor la nivel de entitate în temeiul articolului 26 alineatul (5), însoțită de stadiul actual de implementare a fiecărui control;
pentru fiecare proces cu impact ridicat sau proces cu impact critic la nivelul Uniunii, o estimare a riscului de compromitere a confidențialității, integrității și disponibilității informațiilor și ale activelor relevante. Estimarea acestui risc se face în conformitate cu matricea de evaluare a impactului riscurilor de la articolul 19 alineatul (2);
o listă a furnizorilor critici de servicii TIC pentru procesele lor cu impact critic.
CAPITOLUL III
CADRUL COMUN DE SECURITATE CIBERNETICĂ ÎN DOMENIUL ENERGIEI ELECTRICE
Articolul 28
Componența, funcționarea și revizuirea cadrului comun de securitate cibernetică în domeniul energiei electrice
Cadrul comun de securitate cibernetică în domeniul energiei electrice este compus din următoarele controale și din sistemul de gestionare a securității cibernetice:
controalele minime de securitate cibernetică, elaborate în conformitate cu articolul 29;
controalele avansate de securitate cibernetică, elaborate în conformitate cu articolul 29;
matricea de corespondență, elaborată în conformitate cu articolul 34, care corelează controalele menționate la literele (a) și (b) cu standardele europene și internaționale selectate și cu cadrele legislative sau de reglementare naționale;
sistemul de gestionare a securității cibernetice instituit în temeiul articolului 32.
Articolul 29
Controale minime și controale avansate de securitate cibernetică
Articolul 30
Derogări de la controalele minime și de la controalele avansate de securitate cibernetică
Entitățile enumerate la articolul 2 alineatul (1) pot solicita autorității competente respective să acorde o derogare de la obligația de a aplica controalele minime și controalele avansate de securitate cibernetică menționate la articolul 29 alineatul (6). Autoritatea competentă poate acorda o astfel de derogare pe baza unuia dintre următoarele motive:
în circumstanțe excepționale, atunci când entitatea poate demonstra că implementarea controalelor de securitate cibernetică adecvate presupune costuri care depășesc în mod semnificativ beneficiile. ACER și ENTSO pentru energie electrică, în cooperare cu entitatea OSD, pot elabora în comun orientări pentru estimarea costurilor controalelor de securitate cibernetică pentru a ajuta entitățile;
în cazul în care entitatea furnizează un plan de tratare a riscurilor la nivel de entitate care atenuează riscurile de securitate cibernetică utilizând controale alternative la un nivel acceptabil în conformitate cu criteriile de acceptare a riscurilor menționate la articolul 26 alineatul (3) litera (b).
Articolul 31
Verificarea cadrului comun de securitate cibernetică în domeniul energiei electrice
Articolul 32
Sistemul de gestionare a securității cibernetice
Fiecare entitate cu impact ridicat și fiecare entitate cu impact critic, în termen de 24 de luni de la data la care autoritatea competentă i-a notificat faptul că a fost identificată drept entitate cu impact ridicat sau drept entitate cu impact critic în conformitate cu articolul 24 alineatul (6), instituie un sistem de gestionare a securității cibernetice și, ulterior, îl revizuiește o dată la trei ani în următoarele scopuri:
ca să stabilească domeniul de aplicare al sistemului de gestionare a securității cibernetice, luând în considerare interfețele cu alte entități și dependențele față de acestea;
ca să se asigure că toți membrii conducerii sale superioare sunt informați cu privire la obligațiile legale relevante și contribuie activ la implementarea sistemului de gestionare a securității cibernetice prin decizii rapide și reacții prompte;
ca să asigure disponibilitatea resurselor necesare funcționării sistemului de gestionare a securității cibernetice;
ca să instituie o politică de securitate cibernetică documentată și comunicată, accesibilă atât în cadrul entității, cât și părților afectate de riscurile de securitate;
ca să atribuie și să comunice responsabilitățile pentru rolurile pertinente în securitatea cibernetică;
ca să efectueze gestionarea riscurilor de securitate cibernetică la nivel de entitate, astfel cum este definită la articolul 26;
ca să stabilească și să furnizeze resursele necesare pentru implementarea, întreținerea și îmbunătățirea continuă a sistemului de gestionare a securității cibernetice, ținând seama de competența necesară și de sensibilizarea cu privire la resursele de securitate cibernetică;
ca să determine comunicarea internă și externă relevantă pentru securitatea cibernetică;
ca să creeze, actualizeze și controleze informații documentate legate de sistemul de gestionare a securității cibernetice;
ca să evalueze performanța și eficacitatea sistemului de gestionare a securității cibernetice;
ca să efectueze audituri interne la intervale planificate pentru a se asigura că sistemul de gestionare a securității cibernetice este implementat și întreținut cu eficacitate;
ca să revizuiască implementarea sistemului de gestionare a securității cibernetice la intervale planificate; și ca să controleze și corecteze neconformitatea resurselor și activităților cu politicile, procedurile și orientările din sistemul de gestionare a securității cibernetice.
Articolul 33
Controale minime și controale avansate de securitate cibernetică în lanțul de aprovizionare
Controalele minime de securitate cibernetică în lanțul de aprovizionare constau în controale pentru entitățile cu impact ridicat și pentru entitățile cu impact critic care:
să includă recomandări pentru achizițiile publice de produse TIC, de servicii TIC și de procese TIC referitoare la specificațiile în materie de securitate cibernetică, care să acopere cel puțin:
verificările antecedentelor personalului furnizorului implicat în lanțul de aprovizionare și care se ocupă de informații sensibile sau de accesul la activele cu impact ridicat sau la activele cu impact critic ale entității. Verificarea antecedentelor poate include o verificare a identității și a antecedentelor personalului sau ale contractanților unei entități în conformitate cu dreptul și procedurile naționale și cu dreptul relevant și aplicabil al Uniunii, inclusiv cu Regulamentul (UE) 2016/679 și cu Directiva (UE) 2016/680 a Parlamentului European și a Consiliului ( 5 ). Verificările antecedentelor sunt proporționale și strict limitate la ceea ce este necesar. Acestea se efectuează exclusiv în scopul evaluării unui potențial risc de securitate pentru entitatea în cauză. Ele trebuie să fie proporționale cu cerințele comerciale, cu clasificarea informațiilor care trebuie accesate și cu riscurile percepute și pot fi efectuate de entitatea însăși, de o societate externă care efectuează o examinare sau prin intermediul unei autorizații administrative;
procesele de proiectare, dezvoltare și producție sigure și controlate de produse TIC, servicii TIC și procese TIC, care promovează proiectarea și dezvoltarea de produse TIC, servicii TIC și procese TIC, care includ măsuri tehnice adecvate pentru asigurarea securității cibernetice;
proiectarea rețelelor și a sistemelor informatice în care dispozitivele nu sunt fiabile nici atunci când se află într-un perimetru securizat, necesită verificarea tuturor cererilor pe care le primesc și aplică principiul celor mai mici privilegii;
accesul furnizorului la activele entității;
obligațiile contractuale ale furnizorului de a proteja și restricționa accesul la informațiile sensibile ale entității;
specificațiile care stau la baza achizițiilor publice în materie de securitate cibernetică pentru subcontractanții furnizorului;
trasabilitatea aplicării specificațiilor de securitate cibernetică, de la dezvoltare la producție și la livrarea de produse TIC, servicii TIC sau procese TIC;
sprijinirea actualizărilor de securitate pe parcursul întregii durate de viață a produselor TIC, a serviciilor TIC sau a proceselor TIC;
dreptul de a audita securitatea cibernetică în procesele de proiectare, dezvoltare și producție ale furnizorului și
evaluarea profilului de risc al furnizorului;
impun acestor entități să țină seama de recomandările de achiziții menționate la litera (a) atunci când încheie contracte cu furnizorii, cu parteneri de colaborare și cu alte părți din lanțul de aprovizionare, care vizează livrările obișnuite de produse TIC, servicii TIC și procese TIC, precum și de evenimente și circumstanțe nesolicitate, cum ar fi rezilierea și tranziția contractelor în cazuri de neglijență a partenerului contractual;
impun acestor entități să țină seama de rezultatele evaluărilor coordonate relevante ale riscurilor în materie de securitate ale lanțurilor de aprovizionare critice, efectuate în conformitate cu articolul 22 alineatul (1) din Directiva (UE) 2022/2555;
includ criterii pentru selectarea și contractarea furnizorilor care pot îndeplini specificațiile de securitate cibernetică menționate la litera (a) și care dețin un nivel de securitate cibernetică adecvat riscurilor în materie de securitate cibernetică ale produsului TIC, serviciului TIC sau proceselor TIC pe care furnizorul le livrează;
includ criterii de diversificare a surselor de aprovizionare pentru produsele TIC, serviciile TIC și procesele TIC și reduc riscul de dependență de furnizor;
includ criterii de monitorizare, revizuire sau auditare periodică a specificațiilor de securitate cibernetică pentru procesele operaționale interne ale furnizorilor pe parcursul întregului ciclu de viață al fiecărui produs TIC, serviciu TIC și proces TIC.
Articolul 34
Matricea de corespondență a controalelor de securitate cibernetică în domeniul energiei electrice în raport cu standardele
CAPITOLUL IV
RECOMANDĂRI PRIVIND ACHIZIȚIILE PUBLICE ÎN DOMENIUL SECURIĂȚII CIBERNETICE
Articolul 35
Recomandări privind achizițiile publice în domeniul securității cibernetice
OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, elaborează, în cadrul unui program de lucru care urmează să fie stabilit și actualizat de fiecare dată când se adoptă un raport de evaluare a riscurilor în materie de securitate cibernetică la nivel regional, seturi de recomandări fără caracter obligatoriu privind achizițiile în domeniul securității cibernetice pe care entitățile cu impact ridicat și entitățile cu impact critic le pot utiliza ca bază pentru achiziționarea de produse TIC, servicii TIC și procese TIC în perimetre cu impact ridicat și în perimetre cu impact critic. Programul de lucru cuprinde următoarele aspecte:
o descriere și o clasificare a tipurilor de produse TIC, servicii TIC și procese TIC utilizate de entitățile cu impact ridicat și de entitățile cu impact critic în perimetrul cu impact ridicat și în perimetrul cu impact critic;
o listă a tipurilor de produse TIC, servicii TIC și procese TIC pentru care se elaborează un set de recomandări în materie de securitate cibernetică fără caracter obligatoriu, pe baza rapoartelor relevante de evaluare a riscurilor în materie de securitate cibernetică la nivel regional și a priorităților entităților cu impact ridicat și ale entităților cu impact critic.
OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, se asigură că seturile de recomandări privind achizițiile în domeniul securității cibernetice:
respectă principiile achizițiilor publice în temeiul Directivei 2014/24/UE și
sunt compatibile cu cele mai recente sisteme europene de certificare a securității cibernetice disponibile, relevante pentru produsul TIC, serviciul TIC sau procesul TIC, și țin seama de acestea.
Articolul 36
Orientări privind utilizarea sistemelor europene de certificare a securității cibernetice pentru achiziționarea de produse TIC, servicii TIC și procese TIC
OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, cooperează îndeaproape cu ENISA la furnizarea orientărilor sectoriale incluse în recomandările fără caracter obligatoriu privind achizițiile în domeniul securității cibernetice în temeiul alineatului (1).
CAPITOLUL V
FLUXURILE DE INFORMAȚII, ATACURILE CIBERNETICE ȘI GESTIONAREA CRIZELOR
Articolul 37
Norme privind schimbul de informații
În cazul în care primește informații referitoare la un atac cibernetic raportabil, o autoritate competentă are următoarele obligații:
evaluează nivelul de confidențialitate al informațiilor respective și informează entitatea cu privire la rezultatul evaluării sale fără întârzieri nejustificate și nu mai târziu de 24 de ore de la primirea informațiilor;
încearcă să găsească orice alt atac cibernetic similar în Uniune raportat altor autorități competente, pentru a corela informațiile primite în contextul atacului cibernetic raportabil cu informațiile furnizate în contextul altor atacuri cibernetice și pentru a îmbogăți informațiile existente, a consolida și a coordona răspunsurile în materie de securitate cibernetică;
este responsabilă de eliminarea secretelor de afaceri și de anonimizarea informațiilor în conformitate cu normele relevante de la nivel național și de la nivelul Uniunii;
comunică informațiile punctelor unice de contact naționale, echipelor CSIRT și tuturor autorităților competente ale altor state membre, desemnate în temeiul articolului 4, fără întârzieri nejustificate și în termen de cel mult 24 de ore de la primirea informațiilor referitoare la un atac cibernetic raportabil și furnizează periodic informații actualizate autorităților sau organismelor respective;
diseminează informațiile privind atacul cibernetic, după anonimizarea și eliminarea secretelor de afaceri în temeiul alineatului (1) litera (c), entităților cu impact critic și entităților cu impact ridicat din statul său membru, fără întârzieri nejustificate și în termen de cel mult 24 de ore de la primirea informațiilor în conformitate cu alineatul (1) litera (a), și furnizează periodic informații actualizate care să permită entităților să își organizeze apărarea în mod eficace;
poate solicita entității raportoare cu impact ridicat sau entității raportoare cu impact critic să disemineze în continuare informațiile raportabile privind atacurile cibernetice în mod securizat către alte entități care pot fi afectate, cu scopul de a genera conștientizarea situației de către sectorul energiei electrice și de a preveni materializarea unui risc care ar putea escalada, devenind un incident transfrontalier de securitate cibernetică în sectorul energiei electrice;
transmite ENISA un raport de sinteză, după anonimizare și eliminarea secretelor de afaceri, cu informații privind atacul cibernetic.
În cazul în care ia cunoștință de o vulnerabilitate necorectată exploatată activ, o echipă CSIRT are următoarele obligații:
să o partajeze fără întârziere cu ENISA prin intermediul unui canal securizat adecvat de schimb de informații, cu excepția cazului în care se prevede altfel în alte acte legislative ale Uniunii;
să sprijine entitatea în cauză să primească din partea producătorului sau a furnizorului o gestionare eficace, coordonată și rapidă a vulnerabilității necorectate exploatate activ sau a unor măsuri de atenuare eficace și eficiente;
să facă schimb de informații disponibile cu vânzătorul și să solicite producătorului sau furnizorului, atunci când este posibil, să identifice o listă a CSIRT din statele membre vizate de vulnerabilitatea necorectată exploatată activ și care să fie informată;
să partajeze informațiile disponibile cu echipele CSIRT identificate la litera anterioară, pe baza principiului necesității de a cunoaște;
să partajeze, acolo unde există, strategiile și măsurile de atenuare cu vulnerabilitatea necorectată exploatată activ care a fost raportată.
În cazul în care ia cunoștință de o vulnerabilitate necorectată exploatată activ, o autoritate competentă are următoarele obligații:
să partajeze, în cazul în care există, strategiile și măsurile de atenuare cu vulnerabilitatea necorectată exploatată activ care a fost raportată, în coordonare cu echipele CSIRT din statul său membru;
să comunice informațiile unei echipe CSIRT din statul membru în care a fost raportată vulnerabilitatea necorectată exploatată activ.
OST, cu sprijinul ENTSO pentru energie electrică și în cooperare cu entitatea OSD UE, elaborează o metodologie a grilei de clasificare a atacurilor cibernetice până la 13 iunie 2025. OST, cu sprijinul ENTSO pentru energie electrică și al entității OSD UE, pot solicita autorităților competente să consulte ENISA și autoritățile lor competente responsabile cu securitatea cibernetică pentru asistență la elaborarea unei astfel de grile de clasificare. Metodologia prevede clasificarea gravității unui atac cibernetic în funcție de 5 niveluri, cele mai înalte două niveluri fiind „ridicat” și „critic”. Clasificarea se bazează pe evaluarea următorilor parametri:
impactul potențial având în vedere activele și perimetrele expuse, determinate în conformitate cu articolul 26 alineatul (4) litera (c) și
gravitatea atacului cibernetic.
Studiul de fezabilitate abordează posibilitatea ca un astfel de instrument comun:
să sprijine entitățile cu impact critic și entitățile cu impact ridicat furnizându-le informații relevante legate de securitatea operațiunilor legate de fluxuri transfrontaliere de energie electrică, cum ar fi raportarea în timp aproape real a atacurilor cibernetice, alertele timpurii legate de aspecte legate de securitatea cibernetică și vulnerabilitățile nedivulgate ale echipamentelor utilizate în sistemul de energie electrică;
să fie menținut într-un mediu adecvat și foarte fiabil;
să permită colectarea de date de la entități cu impact critic și de la entități cu impact ridicat și să faciliteze eliminarea informațiilor confidențiale și anonimizarea datelor, precum și diseminarea promptă a acestora către entitățile cu impact critic și entitățile cu impact ridicat.
ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE:
consultă ENISA și Grupul de cooperare NIS, punctele unice de contact naționale și reprezentanții principalelor părți interesate atunci când evaluează fezabilitatea;
prezintă rezultatele studiului de fezabilitate ACER și Grupului de cooperare NIS.
Articolul 38
Rolul entităților cu impact ridicat și al entităților cu impact critic în ceea ce privește schimbul de informații
Fiecare entitate cu impact ridicat și fiecare entitate cu impact critic:
stabilește, pentru toate activele din perimetrul său de securitate cibernetică stabilit în temeiul articolului 26 alineatul (4) litera (c), cel puțin capacitățile CSOC pentru:
a se asigura că rețelele și sistemele informatice, precum și aplicațiile relevante furnizează jurnale de securitate pentru monitorizarea securității, care să permită detectarea anomaliilor și colectarea de informații privind atacurile cibernetice;
a efectua monitorizarea securității, inclusiv detectarea intruziunilor și evaluarea vulnerabilităților rețelelor și ale sistemelor informatice;
a analiza și, dacă este necesar, a întreprinde toate acțiunile necesare aflate sub responsabilitatea sa și aferente calității sale, în scopul protejării entității;
a participa la colectarea și la schimbul de informații descrise la prezentul articol;
are dreptul de a achiziționa, integral sau parțial, aceste capacități în temeiul literei (a) prin intermediul MSSP-urilor. Entitățile cu impact critic și entitățile cu impact ridicat rămân responsabile pentru MSSP și supraveghează eforturile acestora;
desemnează un punct unic de contact la nivel de entitate în scopul schimbului de informații.
Fiecare entitate cu impact critic și fiecare entitate cu impact ridicat furnizează fără întârzieri nejustificate echipelor sale CSIRT orice informații legate de o amenințare cibernetică raportabilă care ar putea avea un efect transfrontalier. Informațiile referitoare la o amenințare cibernetică sunt considerate raportabile atunci când este îndeplinită cel puțin una dintre următoarele condiții:
furnizează informații relevante, pentru alte entități cu impact critic și pentru alte entități cu impact ridicat, legate de prevenirea, detectarea, răspunsul sau atenuarea impactului riscului;
tehnicile, tacticile și procedurile identificate utilizate în contextul unui atac conduc la informații precum adrese URL sau IP compromise, hash-uri sau orice alt atribut util pentru contextualizarea și corelarea atacului;
o amenințare cibernetică poate fi evaluată și contextualizată mai amănunțit cu ajutorul informațiilor suplimentare furnizate de prestatori de servicii sau terți care nu fac obiectul prezentului regulament.
Atunci când face schimb de informații în temeiul prezentului articol, fiecare entitate cu impact critic și fiecare entitate cu impact ridicat specifică următoarele:
că informațiile sunt transmise în temeiul prezentului regulament;
dacă informațiile se referă la:
un atac cibernetic raportabil menționat la alineatul (3);
vulnerabilitățile necorectate exploatate activ care nu sunt cunoscute public, menționate la alineatul (4);
o amenințare cibernetică raportabilă menționată la alineatul (5);
în cazul unui atac cibernetic raportabil, nivelul atacului cibernetic în conformitate cu metodologia grilei de clasificare a atacurilor cibernetice menționată la articolul 37 alineatul (8), precum și informațiile care conduc la această clasificare, inclusiv cel puțin nivelul de criticalitate al atacului cibernetic.
Articolul 39
Detectarea atacurilor cibernetice și tratarea informațiilor conexe
Entitățile cu impact critic și entitățile cu impact ridicat:
se asigură că propriul punct unic de contact la nivel de entitate are acces, pe baza principiului necesității de a cunoaște, la informațiile primite de la punctul unic de contact național prin intermediul autorității lor competente;
dacă nu s-a efectuat deja notificarea în temeiul articolului 3 alineatul (4) din Directiva (UE) 2022/2555, notifică autorității competente din statul membru în care sunt stabilite și punctului unic de contact național o listă a punctelor lor unice de contact în materie de securitate cibernetică la nivel de entitate:
de la care autoritatea competentă și punctul unic național de contact se pot aștepta să primească informații despre atacuri cibernetice raportabile;
cărora autoritățile competente și punctele unice naționale de contact ar putea fi nevoite să le furnizeze informații;
instituie proceduri de gestionare a atacurilor cibernetice în cazul atacurilor cibernetice, inclusiv roluri și responsabilități, sarcini și reacții pe baza evoluției observabile a atacului cibernetic în perimetrele cu impact critic și în perimetrele cu impact ridicat;
testează procedurile generale de gestionare a atacurilor cibernetice cel puțin o dată pe an prin testarea a cel puțin unui scenariu care afectează direct sau indirect fluxurile transfrontaliere de energie electrică. Testul anual respectiv poate fi efectuat de entitățile cu impact critic și de entitățile cu impact ridicat în timpul exercițiilor periodice menționate la articolul 43. Orice activitate de răspuns la atacuri cibernetice în direct cu o consecință clasificată cel puțin la scara 2, în conformitate cu metodologia grilei de clasificare a atacurilor cibernetice menționată la articolul 37 alineatul (8), și a căror cauză principală este legată de securitatea cibernetică, poate servi drept test anual al planului de răspuns la atacurile cibernetice.
Articolul 40
Gestionarea crizelor
Grupul ad-hoc de coordonare transfrontalieră a crizelor:
coordonează recuperarea eficientă și diseminarea în continuare a tuturor informațiilor relevante în materie de securitate cibernetică către entitățile implicate în procesul de gestionare a crizelor;
organizează comunicarea dintre toate entitățile afectate de criză și autoritățile competente, pentru a reduce suprapunerile și a spori eficiența analizelor și a răspunsurilor tehnice care să remedieze crizele simultane de energie electrică ale căror cauze principale sunt legate de securitatea cibernetică;
furnizează, în cooperare cu echipele CSIRT competente, expertiza necesară, inclusiv consiliere operațională cu privire la implementarea unor posibile măsuri de atenuare în cadrul entităților afectate de incident;
notifică și furnizează Comisiei și Grupului de coordonare în domeniul energiei electrice actualizări periodice cu privire la situația incidentului, respectând principiile de protecție prevăzute la articolul 46;
solicită consiliere din partea autorităților, agențiilor sau entităților relevante care ar putea contribui la atenuarea crizei de energie electrică.
Articolul 41
Planuri de gestionare și răspuns la crizele de securitate cibernetică
Entitățile cu impact critic și entitățile cu impact ridicat se asigură că procesele lor de gestionare a crizelor legate de securitatea cibernetică:
au proceduri compatibile de gestionare a incidentelor de securitate cibernetică transfrontaliere, astfel cum este definită la articolul 6 punctul 8 din Directiva (UE) 2022/2555, incluse în mod oficial în planurile lor de gestionare a crizelor;
fac parte din activitățile generale de gestionare a crizelor.
În termen de 12 luni de la notificarea entităților cu impact ridicat și a entităților cu impact critic în temeiul articolului 24 alineatul (6) și, ulterior, o dată la trei ani, entitățile cu impact critic și entitățile cu impact ridicat elaborează un plan de gestionare a crizelor la nivel de entitate pentru o criză legată de securitatea cibernetică, care este inclus în planurile lor generale de gestionare a crizelor. Planul respectiv include cel puțin următoarele elemente:
regulile privind declararea crizei, astfel cum se prevede la articolul 14 alineatele (2) și (3) din Regulamentul (UE) 2019/941;
roluri și responsabilități clare pentru gestionarea crizelor, inclusiv rolul altor entități relevante cu impact critic și al altor entități cu impact ridicat;
informații de contact actualizate, precum și norme privind comunicarea și schimbul de informații în timpul unei situații de criză, inclusiv conectarea cu echipele CSIRT.
Entitățile cu impact critic și entitățile cu impact ridicat includ planurile lor de gestionare a crizelor la nivel de entitate în planurile lor de continuitate a activității pentru procesele cu impact critic și procesele cu impact ridicat. Planurile de gestionare a crizelor la nivel de entitate includ:
procese în funcție de disponibilitatea, integritatea și fiabilitatea serviciilor informatice;
toate locațiile de asigurare a continuității activității, inclusiv locațiile pentru hardware și software;
toate rolurile și responsabilitățile interne legate de procesele de continuitate a activității.
Articolul 42
Capacități de alertă timpurie de securitate cibernetică în sectorul energiei electrice
ECEAC permite ENISA, atunci când îndeplinește atribuțiile enumerate la articolul 7 alineatul (7) din Regulamentul (UE) 2019/881:
să colecteze informații în sistem de schimb voluntar de la:
echipele CSIRT, autoritățile competente;
entitățile menționate la articolul 2 din prezentul regulament;
orice altă entitate care dorește să facă schimb voluntar de informații relevante;
să evalueze și să clasifice informațiile colectate;
să evalueze informațiile la care ENISA are acces pentru identificarea condițiilor de risc cibernetic și a indicatorilor relevanți pentru aspectele fluxurilor transfrontaliere de energie electrică;
să identifice condițiile și indicatorii care se corelează frecvent cu atacurile cibernetice din sectorul energiei electrice;
să definească dacă se iau măsuri suplimentare de analiză și de prevenire prin evaluarea și identificarea factorilor de risc;
să informeze autoritățile competente cu privire la riscurile identificate și la acțiunile preventive recomandate specifice entităților în cauză;
să informeze toate entitățile relevante enumerate la articolul 2 cu privire la rezultatele informațiilor evaluate în conformitate cu literele (b), (c) și (d) de la prezentul alineat;
să includă periodic informațiile relevante în raportul privind conștientizarea situației, elaborat în conformitate cu articolul 7 alineatul (6) din Regulamentul (UE) 2019/881;
să obțină, acolo unde este posibil, date aplicabile care indică o potențială încălcare a securității sau un atac cibernetic („indicatori de compromitere”) din informațiile colectate.
ACER monitorizează eficacitatea ECEAC. ENISA acordă asistență ACER prin furnizarea tuturor informațiilor necesare, în temeiul articolului 6 alineatul (2) și al articolului 7 alineatul (1) din Regulamentul (UE) 2019/881. Analiza acestei activități de monitorizare face parte din monitorizarea prevăzută la articolul 12 din prezentul regulament.
CAPITOLUL VI
CADRUL DE EXERCIȚII DE SECURITATE CIBERNETICĂ ÎN SECTORUL ENERGIEI ELECTRICE
Articolul 43
Exerciții de securitate cibernetică la nivelul entităților și al statelor membre
Prin derogare de la alineatul (1), ANC-PR, după consultarea autorității competente și a autorității relevante de gestionare a crizelor cibernetice, astfel cum a fost desemnată sau stabilită în Directiva (UE) 2022/2555 în temeiul articolului 9, poate decide să organizeze un exercițiu de securitate cibernetică la nivel de stat membru, astfel cum se descrie la alineatul (1), în loc să efectueze exercițiul de securitate cibernetică la nivel de entitate. În acest sens, autoritatea competentă informează:
toate entitățile cu impact critic din statul său membru, ANR, echipele CSIRT și ANC-SC cel târziu până la data de 30 iunie a anului care precedă exercițiul de securitate cibernetică la nivel de entitate;
fiecare entitate care participă la exercițiul de securitate cibernetică la nivel de stat membru, cu cel puțin șase luni înainte de începerea exercițiului.
Articolul 44
Exerciții regionale sau transregionale de securitate cibernetică
Articolul 45
Rezultatul exercițiilor de securitate cibernetică la nivel de entitate, de stat membru, la nivel regional sau la nivel transregional
Organizatorii exercițiilor de securitate cibernetică menționate la articolul 43 alineatele (1) și (2) și la articolul 44 alineatul (1), cu avizul ENISA, la cererea acestora și în temeiul articolului 7 alineatul (5) din Regulamentul (UE) 2019/881, analizează și finalizează exercițiul de securitate cibernetică relevant prin intermediul unui raport care sintetizează lecțiile învățate, adresat tuturor participanților. Raportul trebuie să conțină:
scenariile de exercițiu, rapoartele de reuniune, principalele poziții, reușitele și lecțiile învățate la orice nivel al lanțului valoric al energiei electrice;
dacă au fost îndeplinite principalele criterii de reușită;
o listă de recomandări pentru entitățile care participă la exercițiul de securitate cibernetică relevant pentru a corecta, a adapta sau a modifica procesele de criză de securitate cibernetică, procedurile aferente, modelele de guvernanță asociate și orice angajamente contractuale existente cu furnizorii critici de servicii.
CAPITOLUL VII
PROTECȚIA INFORMAȚIILOR
Articolul 46
Principii pentru protecția informațiilor care fac obiectul schimbului
Entitățile enumerate la articolul 2 alineatul (1) se asigură că sunt instituite toate măsurile de protecție necesare de natură organizațională și tehnică pentru a proteja confidențialitatea, integritatea, disponibilitatea și nerepudierea informațiilor furnizate, primite, schimbate sau transmise în temeiul prezentului regulament, independent de mijloacele utilizate. Măsurile de protecție:
trebuie să fie proporționale;
iau în considerare riscurile în materie de securitate cibernetică legate de amenințările trecute și emergente cunoscute la care pot fi supuse astfel de informații în contextul prezentului regulament;
în măsura posibilului, se bazează pe standarde și bune practici naționale, europene sau internaționale;
sunt susținute de documente justificative.
Entitățile enumerate la articolul 2 alineatul (1) se asigură că accesul la informațiile furnizate, primite, schimbate sau transmise în temeiul prezentului regulament este limitat la persoanele:
care sunt autorizate să acceseze informațiile respective pe baza funcțiilor lor și în limita executării sarcinilor atribuite;
în privința cărora entitatea a fost în măsură să evalueze principiile etice și de integritate, precum și în privința cărora nu există dovezi ale unui rezultat negativ în urma unei verificări a antecedentelor pentru a evalua fiabilitatea persoanei în conformitate cu cele mai bune practici și cu cerințele standard de securitate ale entității și, dacă este necesar, cu legile și reglementările naționale.
O entitate menționată la articolul 2 alineatul (1) poate considera că aceste informații trebuie partajate fără a se respecta alineatele (1) și (4) din prezentul articol pentru a preveni o criză simultană de energie electrică a cărei cauză principală este legată de securitatea cibernetică sau orice criză transfrontalieră din Uniune într-un alt sector. În acest caz, entitatea:
se consultă cu autoritatea competentă și este autorizată de aceasta să facă schimb de astfel de informații;
anonimizează aceste informații fără a pierde elementele necesare pentru a informa publicul cu privire la un risc iminent și grav la adresa fluxurilor transfrontaliere de energie electrică și la posibilele măsuri de atenuare;
garantează identitatea inițiatorului și a entităților care au prelucrat astfel de informații în temeiul prezentului regulament.
Articolul 47
Confidențialitatea informațiilor
CAPITOLUL VIII
DISPOZIȚII FINALE
Articolul 48
Dispoziții temporare
Până la aprobarea termenilor și condițiilor sau a metodologiilor menționate la articolul 6 alineatul (2) sau a planurilor menționate la articolul 6 alineatul (3), ENTSO pentru energie electrică, în cooperare cu entitatea OSD UE, elaborează orientări fără caracter obligatoriu cu privire la următoarele aspecte:
un indice provizoriu de impact în materie de securitate cibernetică în domeniul energiei electrice („ECII”) în temeiul alineatului (2) din prezentul articol;
o listă provizorie a proceselor cu impact ridicat și a proceselor cu impact critic la nivelul Uniunii în temeiul alineatului (4) din prezentul articol și
o listă provizorie a standardelor și controalelor europene și internaționale impuse de legislația națională relevantă pentru aspectele de securitate cibernetică a fluxurilor transfrontaliere de energie electrică în temeiul alineatului (6) din prezentul articol.
Lista provizorie a standardelor și controalelor europene și internaționale include:
standardele europene și internaționale și legislația națională care furnizează orientări privind metodologiile de gestionare a riscurilor în materie de securitate cibernetică la nivel de entitate și
controale de securitate cibernetică echivalente cu controalele care se preconizează că vor face parte din controalele minime și din controalele avansate de securitate cibernetică.
Articolul 49
Intrare în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
( 1 ) Regulamentul de punere în aplicare (UE) nr. 1348/2014 al Comisiei din 17 decembrie 2014 privind raportarea de date, pentru punerea în aplicare a articolului 8 alineatele (2) și (6) din Regulamentul (UE) nr. 1227/2011 al Parlamentului European și al Consiliului privind integritatea și transparența pieței angro de energie (JO L 363, 18.12.2014, p. 121).
( 2 ) Regulamentul (UE) 2019/942 al Parlamentului European și al Consiliului din 5 iunie 2019 de instituire a Agenției Uniunii Europene pentru Cooperarea Autorităților de Reglementare din Domeniul Energiei (JO L 158, 14.6.2019, p. 22).
( 3 ) Regulamentul (UE) nr. 1025/2012 al Parlamentului European și al Consiliului din 25 octombrie 2012 privind standardizarea europeană, de modificare a Directivelor 89/686/CEE și 93/15/CEE ale Consiliului și a Directivelor 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE și 2009/105/CE ale Parlamentului European și ale Consiliului și de abrogare a Deciziei 87/95/CEE a Consiliului și a Deciziei nr. 1673/2006/CE a Parlamentului European și a Consiliului (JO L 316, 14.11.2012, p. 12).
( 4 ) Decizia Comisiei din 15 noiembrie 2012 de înființare a Grupului de coordonare în domeniul energiei electrice (JO C 353, 17.11.2012, p. 2).
( 5 ) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).
( 6 ) Directiva 2014/24/UE a Parlamentului European și a Consiliului din 26 februarie 2014 privind achizițiile publice și de abrogare a Directivei 2004/18/CE (JO L 94, 28.3.2014, p. 65).