1.   Ta uredba se uporablja za vidike kibernetske varnosti čezmejnih pretokov električne energije v dejavnostih naslednjih subjektov, če so v skladu s členom 24 opredeljeni kot subjekti z velikim ali kritičnim učinkom:

2.   Za izvajanje nalog, dodeljenih s to uredbo, so v okviru svojega sedanjega mandata odgovorni naslednji organi:

3.   Ta uredba se uporablja tudi za vse subjekte, ki niso ustanovljeni v Uniji, vendar opravljajo storitve za subjekte v Uniji, pod pogojem, da jih pristojni organi v skladu s členom 24(2) opredelijo kot subjekte z velikim ali kritičnim učinkom.

4.   Ta direktiva ne posega v pristojnosti držav članic, da zaščitijo nacionalno varnost, in v njihova pooblastila za zaščito drugih bistvenih državnih funkcij, vključno z zagotavljanjem ozemeljske celovitosti države ter vzdrževanjem javnega reda in miru.

5.   Ta uredba ne posega v odgovornosti držav članic za zaščito nacionalne varnosti v zvezi z dejavnostmi na področju proizvodnje električne energije v jedrskih elektrarnah, vključno z dejavnostmi znotraj jedrske vrednostne verige, v skladu s Pogodbama.

6.   Subjekti, pristojni organi, enotne kontaktne točke na ravni subjekta in skupine CSIRT obdelujejo osebne podatke v obsegu, ki je potreben za namene te uredbe, in v skladu z Uredbo (EU) 2016/679, pri čemer mora taka obdelava zlasti temeljiti na členu 6 Uredbe.

1.   Takoj ko je to mogoče, v vsakem primeru pa do 13. decembra 2024, vsaka država članica imenuje nacionalni vladni ali regulativni organ, ki je pristojen za opravljanje nalog, dodeljenih s to uredbo (v nadaljnjem besedilu: pristojni organ). Dokler se pristojnemu organu ne dodelijo naloge na podlagi te uredbe, regulativni organ, ki ga imenuje vsaka država članica v skladu s členom 57(1) Direktive (EU) 2019/944, opravlja naloge pristojnega organa v skladu s to uredbo.

2.   Države članice nemudoma pošljejo uradno obvestilo Komisiji, ACER, ENISA, Skupini za sodelovanje na področju varnosti omrežnih in informacijskih sistemov, vzpostavljeno na podlagi člena 14 Direktive (EU) 2022/2555, in usklajevalni skupini za električno energijo, ustanovljeno na podlagi člena 1 Sklepa Komisije z dne 15. novembra 2012 (17), v katerem jim sporočijo ime in kontaktne podatke svojega pristojnega organa, imenovanega na podlagi odstavka 1 tega člena, ter vse naknadne spremembe teh podatkov.

3.   Države članice lahko dovolijo svojemu pristojnemu organu, da naloge, ki so mu dodeljene s to uredbo, prenese na druge nacionalne organe, z izjemo nalog iz člena 5. Vsak pristojni organ spremlja, kako organi, na katere je prenesel naloge, uporabljajo to uredbo. Pristojni organ sporoči Komisiji, ACER, ENISA, usklajevalni skupini za električno energijo in Skupini za sodelovanje na področju varnosti omrežnih in informacijskih sistemov ime organov, na katere so bile naloge prenesene, njihove kontaktne podatke, dodeljene naloge in vse naknadne spremembe teh podatkov.

1.   Operaterji prenosnih sistemov v sodelovanju s telesom EU ODS pripravijo predloge pogojev ali metodologij v skladu z odstavkom 2 oziroma načrtov v skladu z odstavkom 3.

2.   Vsi pristojni organi odobrijo predloge naslednjih pogojev ali metodologij in vse njihove spremembe:

3.   Predloge regionalnih načrtov za zmanjšanje tveganja za kibernetsko varnost na podlagi člena 22 odobrijo vsi pristojni organi zadevne regije obratovanja sistema.

4.   Predlogi pogojev ali metodologij iz odstavka 2 oziroma načrtov iz odstavka 3 vključujejo predlagani časovni okvir za njihovo izvajanje in opis njihovega pričakovanega učinka na cilje te uredbe.

5.   Telo EU ODS lahko zadevnim operaterjem prenosnih sistemov predloži obrazloženo mnenje najpozneje tri tedne pred rokom za predložitev predloga pogojev ali metodologij oziroma načrtov pristojnim organom. Operaterji prenosnih sistemov, odgovorni za predloge pogojev ali metodologij oziroma načrtov, pred njihovo predložitvijo pristojnim organom v odobritev upoštevajo utemeljeno mnenje telesa EU ODS. Operaterji prenosnih sistemov predložijo utemeljitev, kadar se mnenje telesa EU ODS ne upošteva.

6.   Sodelujoči operaterji prenosnih sistemov tesno sodelujejo pri skupnemu oblikovanju pogojev in metodologij ter načrtov. Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo in v sodelovanju s telesom EU ODS redno obveščajo pristojne organe in ACER o napredku pri oblikovanju pogojev ali metodologij oziroma načrtov.

1.   Če operaterji prenosnih sistemov pri odločanju o predlogih pogojev ali metodologij ne morejo doseči dogovora, odločajo z glasovanjem s kvalificirano večino. Kvalificirana večina za take predloge se izračuna na naslednji način:

2.   Manjšina, ki lahko prepreči sprejetje sklepov o predlogih pogojev ali metodologij iz člena 6(2), mora vključevati operaterje prenosnih sistemov, ki predstavljajo najmanj štiri države članice, v nasprotnem primeru se šteje, da je kvalificirana večina dosežena.

3.   Kadar operaterji prenosnih sistemov pri odločanju o predlogih pogojev ali metodologij iz člena 6(2) ne morejo doseči dogovora, regijo obratovanja sistema pa sestavlja več kot pet držav članic, odločajo z glasovanjem s kvalificirano večino. Za kvalificirano večino za predloge iz člena 6(2) je potrebna večina:

4.   Manjšina, ki lahko prepreči sprejetje odločitev o predlogih načrtov, vključuje vsaj najmanjše število operaterjev prenosnih sistemov, ki predstavljajo več kot 35 % prebivalstva udeleženih držav članic, ter operaterje prenosnih sistemov, ki predstavljajo vsaj eno dodatno zadevno državo članico; v nasprotnem primeru se šteje, da je kvalificirana večina dosežena.

5.   Pri odločitvah operaterjev prenosnih sistemov o predlogih pogojev ali metodologij na podlagi člena 6(2) se dodeli po en glas na državo članico. Če je na ozemlju države članice več kot en operater prenosnega sistema, država članica razdeli glasovalne pravice med operaterje prenosnih sistemov.

6.   Če operaterji prenosnih sistemov v sodelovanju s telesom EU ODS ne predložijo prvotnega ali spremenjenega predloga pogojev ali metodologij oziroma načrtov ustreznim pristojnim organom v rokih, ki so določeni v tej uredbi, ustreznim pristojnim organom in ACER zagotovijo ustrezne osnutke pogojev ali metodologij oziroma načrtov. Pri tem pojasnijo, kaj je preprečilo sprejetje dogovora. Pristojni organi skupaj sprejmejo ustrezne ukrepe za sprejetje zahtevanih pogojev ali metodologij oziroma zahtevanih načrtov. To se lahko na primer stori tako, da se zahtevajo spremembe osnutkov iz tega odstavka, da se ti osnutki revidirajo in dopolnijo ali, če osnutki niso bili predloženi, da se opredelijo in odobrijo zahtevani pogoji ali metodologije oziroma načrti.

1.   Operaterji prenosnih sistemov predložijo predloge pogojev ali metodologij oziroma načrtov v odobritev ustreznim pristojnim organom v rokih, določenih v členih 18, 23, 29, 33, 34, 35 in 37. Pristojni organi lahko v izjemnih primerih te roke skupaj podaljšajo, zlasti kadar roka ni mogoče doseči zaradi okoliščin, na katere operaterji prenosnih sistemov ali subjekt EU ODS ne morejo vplivati.

2.   Predlogi pogojev ali metodologij oziroma načrtov iz odstavka 1 se hkrati s predložitvijo pristojnim organom predložijo v vednost tudi ACER.

3.   ACER na podlagi skupne prošnje nacionalnih regulativnih organov izda mnenje o predlogu pogojev ali metodologij oziroma načrtov v šestih mesecih po prejemu predlogov pogojev ali metodologij oziroma načrtov in o mnenju uradno obvesti nacionalne regulativne organe ter pristojne organe. Nacionalni regulativni organi, nacionalni pristojni organi, odgovorni za kibernetsko varnost, in vsi drugi organi, ki so imenovani kot pristojni organi, se medsebojno uskladijo, preden nacionalni regulativni organi zaprosijo ACER za mnenje. ACER lahko v tako mnenje vključi priporočila. ACER se pred izdajo mnenja o predlogih iz člena 6(2) posvetuje z ENISA.

4.   Pristojni organi se med seboj posvetujejo in tesno sodelujejo ter usklajujejo, da bi dosegli dogovor o predlaganih pogojih ali metodologijah oziroma načrtih. Pred odobritvijo pogojev ali metodologij oziroma načrtov po potrebi revidirajo in dopolnijo predloge na podlagi posvetovanja z ENTSO za električno energijo in telesom EU ODS, da bi zagotovili, da so predlogi skladni s to uredbo in prispevajo k visoki skupni ravni kibernetske varnosti v Uniji.

5.   Pristojni organi odločijo o pogojih ali metodologijah oziroma načrtih v šestih mesecih po prejetju pogojev ali metodologij oziroma načrtov od ustreznih pristojnih organov ali, kadar je primerno, zadnjega zadevnega ustreznega pristojnega organa.

6.   Kadar ACER izda mnenje, ga ustrezni pristojni organi upoštevajo in sprejmejo svoje odločitve v šestih mesecih po prejemu mnenja ACER.

7.   Kadar pristojni organi skupaj zahtevajo spremembe predlaganih pogojev ali metodologij oziroma načrtov, da bi jih izboljšali, operaterji prenosnih sistemov v sodelovanju s telesom EU ODS pripravijo predlog takih sprememb pogojev ali metodologij oziroma načrtov. Operaterji prenosnih sistemov predložijo spremenjen predlog v odobritev v dveh mesecih po prejetju zahteve pristojnih organov. Pristojni organi o spremenjenih pogojih ali metodologijah oziroma načrtih odločijo v dveh mesecih po njihovi predložitvi.

8.   Kadar pristojni organi ne morejo doseči dogovora v roku iz odstavka 5 ali 7, o tem obvestijo Komisijo. Komisija lahko sprejme ustrezne ukrepe, da bi omogočila sprejetje zahtevanih pogojev ali metodologij oziroma načrtov.

9.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo in v sodelovanju s telesom EU ODS objavijo pogoje ali metodologije oziroma načrte na svojih spletiščih po odobritvi s strani ustreznih pristojnih organov, razen kadar se take informacije štejejo za zaupne v skladu s členom 47.

10.   Pristojni organi lahko skupaj od operaterjev prenosnih sistemov in telesa EU ODS zahtevajo predloge sprememb odobrenih pogojev ali metodologij oziroma odobrenih načrtov ter določijo rok za predložitev teh predlogov. Operaterji prenosnih sistemov lahko v sodelovanju s telesom EU ODS predlagajo spremembe pristojnim organom tudi na lastno pobudo. Predlogi sprememb pogojev ali metodologij oziroma sprememb načrtov se oblikujejo in odobrijo v skladu s postopkom, določenim v tem členu.

11.   Operaterji prenosnih sistemov v sodelovanju s telesom EU ODS najmanj vsaka tri leta po prvem sprejetju ustreznih pogojev ali metodologij oziroma ustreznih sprejetih načrtov pregledajo učinkovitost sprejetih pogojev ali metodologij oziroma sprejetih načrtov ter o ugotovitvah pregleda nemudoma poročajo pristojnim organom in ACER.

1.   Operaterji prenosnih sistemov se ob pomoči ENTSO za električno energijo in v sodelovanju s telesom EU ODS posvetujejo z deležniki, vključno z ACER, ENISA in pristojnim organom vsake države članice, o osnutku predlogov pogojev ali metodologij iz člena 6(2) in načrtov iz člena 6(3). Posvetovanje ne sme trajati manj kot en mesec.

2.   Predlogi pogojev ali metodologij iz člena 6(2), ki jih predložijo operaterji prenosnih sistemov v sodelovanju s telesom EU ODS, se objavijo in predložijo v posvetovanje na ravni Unije. Predlogi načrtov iz člena 6(3), ki jih predložijo ustrezni operaterji prenosnih sistemov v sodelovanju s telesom EU ODS na regionalni ravni, se predložijo v posvetovanje vsaj na regionalni ravni.

3.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo in telesa EU ODS, ki je odgovorno za pripravo predloga pogojev ali metodologij oziroma načrtov, pred predložitvijo predloga v regulativno odobritev ustrezno upoštevajo stališča deležnikov, ki izhajajo iz posvetovanj, ki so potekala v skladu z odstavkom 1. V vseh primerih se hkrati s predložitvijo predloga navede tehtna utemeljitev razlogov za vključitev ali izključitev stališč, ki izhajajo iz posvetovanja, ter se pravočasno objavi pred predlogom pogojev ali metodologij ali hkrati z njo.

1.   Stroške, ki jih imajo operaterji prenosnih sistemov in operaterji distribucijskih sistemov in so predmet reguliranja omrežnih tarif ter izhajajo iz obveznosti iz te uredbe, vključno s stroški, ki jih imata ENTSO za električno energijo in telo EU ODS, oceni ustrezen nacionalni regulativni organ vsake države članice.

2.   Stroški, za katere se oceni, da so razumni, učinkoviti in sorazmerni, se povrnejo z omrežnimi tarifami ali drugimi ustreznimi mehanizmi, kot določi ustrezen nacionalni regulativni organ.

3.   Operaterji prenosnih sistemov in operaterji distribucijskih sistemov iz odstavka 1 na zahtevo ustreznih nacionalnih regulativnih organov v razumnem obdobju, ki ga določi nacionalni regulativni organ, predložijo informacije, potrebne za olajšanje ocenjevanja nastalih stroškov.

1.   ACER spremlja izvajanje te uredbe v skladu s členom 32(1) Uredbe (EU) 2019/943 in členom 4(2) Uredbe (EU) 2019/942. Pri tem lahko sodeluje ENISA in zaprosi za podporo ENTSO za električno energijo ter telo EU ODS. ACER redno obvešča usklajevalno skupino za električno energijo in Skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov o izvajanju te uredbe.

2.   ACER objavi poročilo najmanj vsaka tri leta po začetku veljavnosti te uredbe, da bi:

3.   ACER lahko do 13. junija 2025 v sodelovanju z ENISA in po posvetovanju z ENTSO za električno energijo ter telesom EU ODS izda navodila o ustreznih informacijah, ki jih je treba sporočiti ACER za namene spremljanja, ter postopku in pogostosti zbiranja teh informacij na podlagi kazalnikov uspešnosti, opredeljenih v skladu z odstavkom 5.

4.   Pristojni organi imajo lahko dostop do ustreznih informacij v lasti ACER, ki so bile zbrane v skladu s tem členom.

5.   ACER v sodelovanju z ENISA in ob podpori ENTSO za električno energijo ter telesa EU ODS izda nezavezujoče kazalnike uspešnosti za oceno operativne zanesljivosti, ki so povezani z vidiki kibernetske varnosti čezmejnih pretokov električne energije.

6.   Subjekti iz člena 2(1) te uredbe predložijo ACER zahtevane informacije, ki so potrebne za izvajanje nalog iz odstavka 2.

1.   ACER do 13. junija 2025 v sodelovanju z ENISA pripravi nezavezujoča navodila za primerjanje izvajanja ukrepov kibernetske varnosti. Ta vodnik vsebuje pojasnila za nacionalne regulativne organe glede načel primerjanja izvedenih kontrol kibernetske varnosti v skladu z odstavkom 2 tega člena ob upoštevanju stroškov izvajanja kontrol in učinkovitosti funkcije postopkov, proizvodov, storitev, sistemov in rešitev, ki se uporabljajo pri izvajanju takih kontrol. Pri pripravi nezavezujočih navodil za primerjanje izvajanja ukrepov kibernetske varnosti ACER upošteva obstoječa primerjalna poročila. ACER nacionalnim regulativnim organom v vednost predloži nezavezujoča navodila za primerjanje izvajanja ukrepov kibernetske varnosti.

2.   Nacionalni regulativni organi v 12 mesecih po pripravi navodil za primerjanje na podlagi odstavka 1 izvedejo primerjalno analizo, da bi ocenili, ali sedanje naložbe v kibernetsko varnost:

3.   Nacionalni regulativni organi lahko za namene primerjalne analize upoštevajo nezavezujoča navodila za primerjanje izvajanja ukrepov kibernetske varnosti, ki ga je pripravil ACER, in zlasti ocenijo:

4.   Vse informacije v zvezi s primerjalno analizo se obravnavajo in obdelajo v skladu z zahtevami za razvrščanje podatkov iz te uredbe, minimalnimi kontrolami kibernetske varnosti in poročilom o oceni tveganja za kibernetsko varnost čezmejnih pretokov električne energije. Primerjalna analiza iz odstavkov 2 in 3 se ne objavi.

5.   Brez poseganja v zahteve glede zaupnosti iz člena 47 in potrebo po zaščiti varnosti subjektov, za katere veljajo določbe te uredbe, se primerjalna analiza iz odstavkov 2 in 3 tega člena posreduje vsem nacionalnim regionalnim organom, vsem pristojnim organom, ACER, ENISA in Komisiji.

1.   Operaterji prenosnih sistemov v regiji obratovanja sistemov, ki je sosednja tretji državi, si v 18 mesecih po začetku veljavnosti te uredbe prizadevajo za sklenitev dogovorov z operaterji prenosnih sistemov iz sosednje tretje države, ki so skladni z ustreznim pravom Unije in v katerih je določena podlaga za sodelovanje pri zaščiti kibernetske varnosti, ter dogovorov o sodelovanju na področju kibernetske varnosti z navedenimi operaterji prenosnih sistemov.

2.   Operaterji prenosnih sistemov obvestijo pristojni organ o dogovorih, sklenjenih na podlagi odstavka 1.

1.   Subjekti, ki nimajo sedeža v Uniji, vendar opravljajo storitve za subjekte v Uniji in so bili z uradnim obvestilom priglašeni kot subjekti z velikim ali kritičnim učinkom v skladu s členom 24(6), v treh mesecih po uradnem obvestilu v pisni obliki določijo zastopnika v Uniji in o tem ustrezno obvestijo pristojni organ, ki pošlje uradno obvestilo.

2.   Ta zastopnik je pooblaščen, da se v zvezi z obveznostmi subjekta z velikim ali kritičnim učinkom na podlagi te uredbe nanj poleg navedenega subjekta ali namesto njega obrne kateri koli pristojni organ ali skupina CSIRT v Uniji. Subjekt z velikim ali kritičnim učinkom svojemu pravnemu zastopniku da vsa potrebna pooblastila in ustrezna sredstva, s katerimi zagotovi njegovo učinkovito in pravočasno sodelovanje z ustreznimi pristojnimi organi ali skupinami CSIRT.

3.   Zastopnik ima sedež v eni od držav članic, v kateri subjekt ponuja svoje storitve. Za subjekt se šteje, da spada v pristojnost države članice, v kateri ima zastopnik sedež. Subjekti z velikim ali kritičnim učinkom pristojnemu organu v državi članici, v kateri ima prebivališče ali sedež njegov pravni zastopnik, sporočijo ime, poštni naslov, elektronski naslov in telefonsko številko navedenega pravnega zastopnika.

4.   Določeni pravni zastopnik je lahko odgovoren za neizpolnjevanje obveznosti na podlagi te uredbe, brez poseganja v odgovornost in sodne postopke, ki se lahko uvedejo zoper subjekta z velikim ali kritičnim učinkom.

5.   Če v Uniji ni zastopnika, določenega v skladu s tem členom, lahko katera koli država članica, v kateri subjekt zagotavlja storitve, uvede sodne postopke proti subjektu zaradi neizpolnjevanja obveznosti na podlagi te uredbe.

6.   Določitev pravnega zastopnika v Uniji na podlagi odstavka 1 ne pomeni ustanovitve sedeža v Uniji.

1.   ENTSO za električno energijo in telo EU ODS na podlagi členov 19 in 21 sodelujeta pri ocenjevanju tveganja za kibernetsko varnost ter zlasti pri naslednjih nalogah:

2.   ENTSO za električno energijo in telo EU ODS lahko sodelujeta v okviru delovne skupine za tveganja za kibernetsko varnost.

3.   ENTSO za električno energijo in telo EU ODS redno obveščata ACER, ENISA, Skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov ter usklajevalno skupino za električno energijo o napredku pri ocenjevanju tveganja za kibernetsko varnost na ravni Unije in regionalnem ocenjevanju tveganja na podlagi členov 19 in 21.

1.   Operaterji prenosnih sistemov do 13. marca 2025 ob pomoči ENTSO za električno energijo, v sodelovanju s telesom EU ODS in po posvetovanju s Skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov predložijo predlog metodologij za oceno tveganja za kibernetsko varnost na ravni Unije, regionalni ravni in ravni držav članic.

2.   Metodologije za oceno tveganja za kibernetsko varnost na ravni Unije, regionalni ravni in ravni držav članic vključujejo:

3.   Z metodologijami za oceno tveganja za kibernetsko varnost na ravni Unije, regionalni ravni in ravni držav članic se ocenjujejo tveganja za kibernetsko varnost z uporabo enake matrike učinka tveganja. Matrika učinka tveganja:

4.   Z metodologijami za oceno tveganja za kibernetsko varnost na ravni Unije se opiše, kako se opredelijo vrednosti ECII za pragove velikega ali kritičnega učinka. ECII omogoča subjektom, da s pomočjo meril iz odstavka 2, točka (b), ocenijo učinek tveganj na svoje poslovne postopke v okviru ocen poslovnega učinka, ki jih izvedejo na podlagi člena 26(4), točka (c)(i).

5.   ENTSO za električno energijo ob usklajevanju s telesom EU ODS obvesti usklajevalno skupino za električno energijo o predlogih metodologij za oceno tveganja za kibernetsko varnost, ki se oblikujejo v skladu z odstavkom 1.

1.   ENTSO za električno energijo v sodelovanju s telesom EU ODS in ob posvetovanju s Skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov brez poseganja v člen 22 Direktive (EU) 2022/2555 v devetih mesecih po odobritvi metodologij za oceno tveganja za kibernetsko varnost na podlagi člena 8 in vsaka tri leta po tem oceni tveganje za kibernetsko varnost na ravni Unije in pripravi osnutek poročila o oceni tveganja za kibernetsko varnost na ravni Unije. Pri tem se uporabijo metodologije, oblikovane na podlagi člena 18 in odobrene na podlagi člena 8, da se opredelijo, analizirajo in ocenijo možne posledice kibernetskih napadov, ki vplivajo na obratovalno sigurnost elektroenergetskega sistema in povzročajo motnje v čezmejnih pretokih električne energije. Pri oceni tveganja za kibernetsko varnost na ravni Unije se ne upošteva pravna ali finančna škoda oziroma škoda za ugled, ki jo povzročijo kibernetski napadi.

2.   Poročilo o oceni tveganja za kibernetsko varnost na ravni Unije vključuje naslednje elemente:

3.   Poročilo o oceni tveganja za kibernetsko varnost na ravni Unije ob upoštevanju postopkov z velikim ali kritičnim učinkom na ravni Unije vključuje:

4.   ENTSO za električno energijo v sodelovanju s telesom EU ODS predloži ACER v vednost osnutek poročila za oceno tveganja za kibernetsko varnost na ravni Unije z rezultati ocene tveganja za kibernetsko varnost na ravni Unije. ACER izda mnenje o osnutku poročila v treh mesecih po njegovem prejemu. ENTSO za električno energijo in telo EU ODS v največji možni meri upoštevata mnenje ACER pri dokončanju tega poročila.

5.   ENTSO za električno energijo v sodelovanju s telesom EU ODS v treh mesecih po prejemu mnenja ACER uradno obvesti ACER, Komisijo, ENISA in pristojne organe o končnem poročilu o oceni tveganja za kibernetsko varnost na ravni Unije.

1.   Vsak pristojni organ v svoji državi članici oceni tveganje za kibernetsko varnost na ravni države članice v zvezi z vsemi subjekti z velikim ali kritičnim učinkom, pri čemer uporabi metodologije, oblikovane na podlagi člena 18 in odobrene na podlagi člena 8. V oceni tveganja za kibernetsko varnost na ravni držav članic se opredelijo in analizirajo tveganja kibernetskih napadov, ki vplivajo na obratovalno sigurnost elektroenergetskega sistema in povzročajo motnje v čezmejnih pretokih električne energije. Pri oceni tveganja za kibernetsko varnost na ravni držav članic se ne upoštevajo pravna ali finančna škoda oziroma škoda za ugled, ki jo povzročijo kibernetski napadi.

2.   Vsak pristojni organ v 21 mesecih po priglasitvi subjektov z velikim ali kritičnim učinkom na podlagi člena 24(6) in vsaka tri leta po tem datumu ob podpori skupine CSIRT ter po posvetovanju z nacionalnim pristojnim organom, odgovornim za kibernetsko varnost, predloži ENTSO za električno energijo in telesu EU ODS poročilo o oceni tveganja za kibernetsko varnost na ravni države članice, ki vsebuje naslednje informacije za vsak poslovni postopek z velikim ali kritičnim učinkom:

3.   V poročilu o oceni tveganja za kibernetsko varnost na ravni držav članic se upošteva načrt pripravljenosti države članice na tveganja, pripravljen na podlagi člena 10 Uredbe (EU) 2019/941.

4.   Informacije iz poročila o oceni tveganja za kibernetsko varnost na ravni držav članic iz odstavka 2, točke (a) do (d), niso povezane z nobenim določenim subjektom ali sredstvom. Poročilo o oceni tveganja za kibernetsko varnost na ravni držav članic vključuje tudi oceno tveganja začasnih odstopanj, ki jih izdajo pristojni organi v državah članicah na podlagi člena 30.

5.   ENTSO za električno energijo in subjekt EU ODS lahko zaprosita pristojni organ za dodatne informacije v zvezi z nalogami iz pododstavka 2, točki (a) in (c).

6.   Pristojni organi zagotovijo, da so informacije, ki jih predložijo, točne in pravilne.

1.   ENTSO za električno energijo v sodelovanju s telesom EU ODS in ob posvetovanju z ustreznim regionalnim koordinacijskim centrom izvede regionalno oceno tveganja za kibernetsko varnost za vsako regijo obratovanja sistema z uporabo metodologij, oblikovanih na podlagi člena 19 in odobrenih na podlagi člena 8, da bi opredelil, analiziral in ocenil tveganja kibernetskih napadov, ki vplivajo na obratovalno sigurnost elektroenergetskega sistema in povzročajo motnje v čezmejnih pretokih električne energije. Pri regionalni oceni tveganja za kibernetsko varnost se ne upošteva pravna ali finančna škoda oziroma škoda za ugled, ki jo povzročijo kibernetski napadi.

2.   ENTSO za električno energijo v sodelovanju s telesom EU ODS in ob posvetovanju s Skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov v 30 mesecih po priglasitvi subjektov z velikim ali kritičnim učinkom na podlagi člena 24(6) in vsaka tri leta po tem pripravi regionalno poročilo o oceni tveganja za kibernetsko varnost za vsako regijo obratovanja sistema.

3.   V regionalnem poročilu o oceni tveganja za kibernetsko varnost se upoštevajo ustrezne informacije, vsebovane v poročilih o oceni tveganja za kibernetsko varnost na ravni Unije in na ravni držav članic.

4.   V regionalni oceni tveganja za kibernetsko varnost se upoštevajo regionalni scenariji za krize pri oskrbi z električno energijo, povezani s kibernetsko varnostjo, ki so opredeljeni v členu 6 Uredbe (EU) 2019/941.

1.   ENTSO za električno energijo v sodelovanju s telesom EU ODS in ob posvetovanju z regionalnimi koordinacijskimi centri in Skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov v 36 mesecih po priglasitvi subjektov z velikim ali kritičnim učinkom na podlagi člena 24(6) in najpozneje do 13. junija 2031 ter vsaka tri leta po tem datumu pripravi regionalni načrt za zmanjšanje tveganja za kibernetsko varnost za vsako regijo obratovanja sistema.

2.   Načrti za zmanjšanje tveganja za kibernetsko varnost vključujejo:

3.   ENTSO za električno energijo predloži regionalne načrte za zmanjšanje tveganja ustreznim operaterjem prenosnih sistemov, pristojnim organom ter usklajevalni skupini za električno energijo. Usklajevalna skupina za električno energijo lahko priporoči spremembe.

4.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo, v sodelovanju s telesom EU ODS in ob posvetovanju s Skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov posodobijo regionalne načrte za zmanjšanje tveganja vsaka tri leta, razen če okoliščine zahtevajo pogostejša posodabljanja.

1.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo, v sodelovanju s telesom EU ODS in ob posvetovanju s Skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov v 40 mesecih po priglasitvi subjektov z velikim ali kritičnim učinkom na podlagi člena 24(6) in nato vsaka tri leta predložijo usklajevalni skupini za električno energijo poročilo o rezultatih ocene tveganja za kibernetsko varnost v zvezi s čezmejnimi pretoki električne energije (v nadaljnjem besedilu: celovito poročilo o oceni tveganja za kibernetsko varnost čezmejnih pretokov električne energije).

2.   Celovito poročilo o oceni tveganja za kibernetsko varnost čezmejnih pretokov električne energije temelji na poročilu o oceni tveganja za kibernetsko varnost na ravni Unije, poročilih o oceni tveganja za kibernetsko varnost na ravni držav članic ter regionalnih poročilih o oceni tveganja za kibernetsko varnost in vključuje naslednje informacije:

3.   Subjekti iz člena 2(1) lahko prispevajo k pripravi celovitega poročila o oceni tveganja za kibernetsko varnost čezmejnih pretokov električne energije, pri čemer upoštevajo zaupnost informacij v skladu s členom 47. Operaterji prenosnih sistemov se ob pomoči ENTSO za električno energijo in v sodelovanju s telesom EU ODS od zgodnje faze posvetujejo s temi subjekti.

4.   Za celovito poročilo o oceni tveganja za kibernetsko varnost čezmejnih pretokov električne energije veljajo pravila o varstvu izmenjave informacij na podlagi člena 46. ENTSO za električno energijo in telo EU ODS brez poseganja v člen 10(4) in člen 47(4) objavita javno različico navedenega poročila, ki ne vsebuje informacij, ki lahko povzročijo škodo subjektom iz člena 2(1). Javna različica tega poročila se objavi samo s soglasjem Skupine za sodelovanje na področju varnosti omrežnih in informacijskih sistemov in usklajevalne skupine za električno energijo. ENTSO za električno energijo je ob usklajevanju s telesom EU ODS odgovoren za pripravo in objavo javne različice poročila.

1.   Vsak pristojni organ z uporabo ECII ter pragov velikega ali kritičnega učinka, vključenih poročilo o oceni tveganja za kibernetsko varnost na ravni Unije na podlagi člena 19(3), točka (b), v svoji državi članici opredeli subjekte z velikim ali kritičnim učinkom, ki so vključeni v postopke z velikim ali kritičnim učinkom na ravni Unije. Pristojni organi lahko subjekt v svoji državi članici zaprosijo za informacije za določitev vrednosti ECII za navedeni subjekt. Če ECII subjekta presega prag velikega ali kritičnega učinka, se opredeljeni subjekt vključi na seznam v poročilu o oceni tveganja za kibernetsko varnost na ravni države članice iz člena 20(2).

2.   Vsak pristojni organ z uporabo ECII ter pragov velikega ali kritičnega učinka, vključenih poročilo o oceni tveganja za kibernetsko varnost na ravni Unije na podlagi člena 19(3), točka (b), opredeli subjekte z velikim ali kritičnim učinkom, ki nimajo sedeža v Uniji, če so dejavni znotraj Unije. Pristojni organ lahko subjekt, ki nima sedeža v Uniji, zaprosi za informacije za določitev vrednosti ECII za navedeni subjekt.

3.   Vsak pristojni organ lahko v svoji državi članici opredeli dodatne subjekte kot subjekte z velikim ali kritičnim učinkom, če sta izpolnjeni naslednji merili:

4.   Če pristojni organ opredeli dodatne subjekte v skladu z odstavkom 3, se vsi postopki pri teh subjektih, katerih zbirni ECII za celotno skupino presega prag velikega učinka, štejejo za postopke z velikim učinkom, vsi postopki pri teh subjektih, katerih zbirni ECII za celotno skupino presega prag kritičnega učinka, pa se štejejo za postopke s kritičnim učinkom.

5.   Če pristojni organ opredeli subjekte iz odstavka 3, točka (a), v več kot eni državi članici, o tem obvesti druge pristojne organe, ENTSO za električno energijo in telo EU ODS. ENTSO za električno energijo v sodelovanju s telesom EU ODS na podlagi informacij, prejetih od vseh pristojnih organov, pristojnim organom zagotovi analizo zbirne skupine subjektov iz več kot ene države članice, ki lahko ustvarijo porazdeljene motnje v čezmejnih pretokih električne energije, s čimer se lahko povzroči kibernetski napad. Kadar je skupina subjektov iz več držav članic opredeljena kot zbirna skupina, katere ECII presega prag velikega ali kritičnega učinka, vsi zadevni pristojni organi subjekte v taki skupini za svojo državo članico opredelijo kot subjekte z velikim ali kritičnim učinkom na podlagi zbirnega ECII za skupino subjektov, opredeljeni subjekti pa se vključijo na seznam v poročilu o oceni tveganja za kibernetsko varnost na ravni Unije.

6.   Vsak pristojni organ v devetih mesecih po prejemu uradnega obvestila ENTSO za električno energijo in telesa EU ODS o poročilu o oceni tveganja za kibernetsko varnost na ravni Unije na podlagi člena 19(5) in vsekakor najpozneje do 13. junija 2028 subjekte s seznama uradno obvesti o tem, da so bili v svoji državi članici opredeljeni kot subjekti z velikim ali kritičnim učinkom.

7.   Kadar je izvajalec storitev priglašen pristojnemu organu kot izvajalec kritičnih IKT storitev na podlagi člena 27, točka (c), pristojni organ o tem uradno obvesti pristojne organe držav članic, na ozemlju katerih je njegov sedež ali zastopnik. Ta pristojni organ uradno obvesti izvajalca storitev o tem, da je opredeljen kot izvajalec kritičnih storitev.

1.   Pristojni organi lahko vzpostavijo nacionalni sistem za preverjanje, da bi preverili, ali subjekti s kritičnim učinkom, opredeljeni na podlagi člena 24(1), izvajajo nacionalni zakonodajni okvir, ki je vključen v matriko za kartiranje iz člena 34. Nacionalni sistem za preverjanje lahko temelji na inšpekcijskem pregledu, ki ga opravi pristojni organ, neodvisnih varnostnih revizijah ali medsebojnih strokovnih pregledih, ki jih opravijo subjekti s kritičnim učinkom v isti državi članici pod nadzorom pristojnega organa.

2.   Če se pristojni organ odloči vzpostaviti nacionalni sistem za preverjanje, zagotovi, da se preverjanje izvaja v skladu z naslednjimi zahtevami:

3.   Če se pristojni organ odloči vzpostaviti nacionalni sistem za preverjanje, vsako leto poroča ACER, kako pogosto je izvajal inšpekcijske preglede v okviru tega sistema.

1.   Vsak subjekt z velikim ali kritičnim učinkom, kot ga opredelijo pristojni organi na podlagi člena 24(1), izvaja postopek obvladovanja tveganja za kibernetsko varnost za vsa svoja sredstva na območjih z velikim ali kritičnim učinkom. Vsak subjekt z velikim ali kritičnim učinkom vsaka tri leta izvede postopek obvladovanja tveganja za kibernetsko varnost, ki vključuje faze iz odstavka 2.

2.   Vsak subjekt z velikim ali kritičnim učinkom utemelji svoj postopek obvladovanja tveganja za kibernetsko varnost na pristopu, katerega cilj je zaščititi omrežne in informacijske sisteme in ki vključuje naslednje faze:

3.   V fazi določitve okvira vsak subjekt z velikim ali kritičnim učinkom:

4.   V fazi ocene tveganja za kibernetsko varnost vsak subjekt z velikim ali kritičnim učinkom:

5.   V fazi obravnave tveganj za kibernetsko varnost vsak subjekt z velikim ali kritičnim učinkom pripravi načrt za zmanjšanje tveganja na ravni subjekta, tako da izbere možnosti obravnave tveganja, ki so primerne za obvladovanje tveganj, in opredeli preostala tveganja.

6.   V fazi sprejemanja tveganja za kibernetsko varnost se vsak subjekt z velikim ali kritičnim učinkom odloči, ali bo sprejel preostalo tveganje na podlagi meril za sprejemanje tveganja, določenih v odstavku 3, točka (b).

7.   Vsak subjekt z velikim ali kritičnim učinkom evidentira sredstva iz odstavka 1 v popisu sredstev. Ta popis sredstev ni del poročila o oceni tveganja.

8.   Pristojni organ lahko med inšpekcijskimi pregledi pregleda sredstva iz popisa.

1.   Skupni okvir za kibernetsko varnost elektroenergetskega sistema vključuje naslednje kontrole in sistem upravljanja kibernetske varnosti:

2.   Vsi subjekti z velikim učinkom v svojem območju z velikim učinkom uporabijo minimalne kontrole kibernetske varnosti na podlagi odstavka 1, točka (a).

3.   Vsi subjekti s kritičnim učinkom v svojem območju s kritičnim učinkom uporabijo razširjene kontrole kibernetske varnosti na podlagi odstavka 1, točka (b).

4.   Skupni okvir za kibernetsko varnost elektroenergetskega sistema iz odstavka 1 se v sedmih mesecih po predložitvi prvega osnutka poročila o oceni tveganja za kibernetsko varnost na ravni Unije na podlagi člena 19(4) dopolni z minimalnimi in razširjenimi kontrolami kibernetske varnosti v dobavni verigi, razvitimi na podlagi člena 33.

1.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo in v sodelovanju s telesom EU ODS v sedmih mesecih po predložitvi prvega osnutka poročila o oceni tveganja za kibernetsko varnost na ravni Unije na podlagi člena 19(4) pripravijo predlog minimalnih in razširjenih kontrol kibernetske varnosti.

2.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo in v sodelovanju s telesom EU ODS v šestih mesecih po pripravi vsakega regionalnega poročila o oceni tveganja za kibernetsko varnost na podlagi člena 21(2) predlagajo pristojnemu organu spremembo minimalnih in razširjenih kontrol kibernetske varnosti. Predlog se opravi v skladu s členom 8(10) in upošteva tveganja, opredeljena v regionalni oceni tveganja.

3.   Minimalne in razširjene kontrole kibernetske varnosti je mogoče preveriti s sodelovanjem v nacionalnem sistemu za preverjanje v skladu s postopkom iz člena 31 ali prek neodvisne varnostne revizije, ki jo opravi tretja stran in ki se izvede v skladu z zahtevami iz člena 25(2).

4.   Začetne minimalne in razširjene kontrole kibernetske varnosti, razvite v skladu z odstavkom 1, temeljijo na tveganjih, ki so opredeljena v poročilu o oceni tveganja za kibernetsko varnosti na ravni Unije iz člena 19(5). Spremenjene minimalne in razširjene kontrole kibernetske varnosti, razvite v skladu z odstavkom 2, temeljijo na regionalnem poročilu o oceni tveganja za kibernetsko varnost iz člena 21(2).

5.   Minimalne kontrole kibernetske varnosti vključujejo kontrole za varstvo izmenjanih informacij na podlagi člena 46.

6.   Subjekti iz člena 2(1), ki so opredeljeni kot subjekti z velikim ali kritičnim učinkom na podlagi člena 24, v 12 mesecih po odobritvi minimalnih in razširjenih kontrol kibernetske varnosti na podlagi člena 8(5) ali po vsaki posodobitvi na podlagi člena 8(10) med pripravo načrta za zmanjšanje tveganja na ravni subjekta na podlagi člena 26(5) uporabijo minimalne kontrole kibernetske varnosti na območju z velikim učinkom in razširjene kontrole kibernetske varnosti na območju s kritičnim učinkom.

1.   Subjekti iz člena 2(1) lahko zaprosijo ustrezni pristojni organ za odobritev odstopanja od obveznosti uporabe minimalnih in razširjenih kontrol kibernetske varnosti iz člena 29(6). Pristojni organ lahko odobri tako odstopanje pod naslednjimi pogoji:

2.   Vsak pristojni organ se v treh mesecih po prejemu prošnje iz odstavka 1 odloči, ali bo odobril odstopanje od minimalnih in razširjenih kontrol kibernetske varnosti. Odstopanja od minimalnih ali razširjenih kontrol kibernetske varnosti se odobrijo za največ tri leta z možnostjo podaljšanja.

3.   Informacije v zbirni in anonimizirani obliki o odobrenih odstopanjih se vključijo kot priloga k celovitemu poročilu o oceni tveganja za kibernetsko varnost čezmejnih pretokov električne energije iz člena 23. ENTSO za električno energijo in telo EU ODS skupaj po potrebi posodabljata seznam.

1.   Vsak subjekt s kritičnim učinkom, opredeljen v skladu s členom 24(1), lahko na zahtevo pristojnega organa najpozneje v 24 mesecih po sprejetju kontrol iz člena 28(1), točke (a), (b) in (c), ter vzpostavitvi sistema upravljanja kibernetske varnosti iz točke (d) navedenega člena, dokaže svojo skladnost s sistemom upravljanja kibernetske varnosti ter minimalnimi in razširjenimi kontrolami kibernetske varnosti.

2.   Vsak subjekt s kritičnim učinkom izpolnjuje obveznosti iz odstavka 1 z izvedenimi neodvisnimi varnostnimi revizijami, ki jih opravi tretja stran in ki se izvedejo v skladu z zahtevami iz člena 25(2), ali s sodelovanjem v nacionalnem sistemu za preverjanje v skladu s členom 25(1).

3.   Preverjanje, ali je subjekt s kritičnim učinkom skladen s sistemom upravljanja kibernetske varnosti in minimalnimi ali razširjenimi kontrolami kibernetske varnosti, zajema vsa sredstva na območju s kritičnim učinkom subjekta s kritičnim učinkom.

4.   Preverjanje, ali je subjekt s kritičnim učinkom skladen s sistemom upravljanja kibernetske varnosti in minimalnimi ali razširjenimi kontrolami kibernetske varnosti, se redno ponovi najpozneje 36 mesecev po koncu prvega preverjanja in nato vsaka tri leta.

5.   Vsak subjekt s kritičnim učinkom, opredeljen v skladu s členom 24, dokaže svojo skladnost s kontrolami iz člena 28(1), točke (a), (b) in (c) in vzpostavljenim sistemom upravljanja kibernetske varnosti iz točke (d) navedenega člena tako, da pristojnemu organu poroča o rezultatih preverjanja skladnosti.

1.   Vsak subjekt z velikim ali kritičnim učinkom v 24 mesecih po tem, ko ga pristojni organ uradno obvesti, da je bil opredeljen kot subjekt z velikim ali kritičnim učinkom v skladu s členom 24(6), vzpostavi sistem upravljanja kibernetske varnosti in ga nato vsaka tri leta pregleda, da:

2.   Področje uporabe sistema upravljanja kibernetske varnosti vključuje vsa sredstva na območju z velikim ali kritičnim učinkom subjekta z velikim ali kritičnim učinkom.

3.   Pristojni organi spodbujajo uporabo evropskih ali mednarodnih standardov in specifikacij, povezanih s sistemi za upravljanje in pomembnih za varnost omrežnih in informacijskih sistemov, ne da bi predpisali uporabo določene vrste tehnologije ali ji dajale prednost.

1.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo in v sodelovanju s telesom EU ODS v sedmih mesecih po predložitvi prvega osnutka poročila o oceni tveganja za kibernetsko varnost na ravni Unije na podlagi člena 19(4) pripravijo predlog minimalnih in razširjenih kontrol kibernetske varnosti v dobavni verigi, ki zmanjšujejo tveganja za dobavno verigo, opredeljena v ocenah tveganja za kibernetsko varnost na ravni Unije, pri čemer dopolnijo minimalne in razširjene kontrole kibernetske varnosti, razvite na podlagi člena 29. Minimalne in razširjene kontrole kibernetske varnosti v dobavni verigi se razvijejo skupaj z minimalnimi in razširjenimi kontrolami na podlagi člena 29. Minimalne in razširjene kontrole kibernetske varnosti v dobavni verigi zajemajo celoten življenjski cikel vseh proizvodov IKT, storitev IKT in postopkov IKT znotraj območja z velikim ali kritičnim učinkom subjekta z velikim ali kritičnim učinkom. Pri pripravi predloga minimalnih in razširjenih kontrol kibernetske varnosti v dobavni verigi se je treba posvetovati s Skupino za sodelovanje na področju varnosti omrežnih in informacijskih sistemov.

2.   Minimalne kontrole kibernetske varnosti v dobavni verigi vključujejo kontrole za subjekte z velikim ali kritičnim učinkom, ki:

3.   Subjekti z velikim ali kritičnim učinkom za specifikacije kibernetske varnosti v priporočilu za javno naročanje na področju kibernetske varnosti iz odstavka 2, točka (a), uporabijo načela javnega naročanja iz Direktive 2014/24/EU Evropskega parlamenta in Sveta (19) v skladu s členom 35(4) ali opredelijo svoje specifikacije na podlagi rezultatov ocene tveganja za kibernetsko varnost na ravni subjekta.

4.   Razširjene kontrole kibernetske varnosti v dobavni verigi vključujejo kontrole, ki jih izvajajo subjekti s kritičnim učinkom, da bi v okviru javnega naročanja preverili, ali proizvodi IKT, storitve IKT in postopki IKT, ki se bodo uporabljali kot sredstva s kritičnim učinkom, izpolnjujejo specifikacije kibernetske varnosti. Proizvod IKT, storitev IKT ali postopek IKT se preveri v okviru evropske certifikacijske sheme za kibernetsko varnost iz člena 31 ali dejavnosti preverjanja, ki jih izbere in organizira subjekt. Poglobljenost in obseg dejavnosti preverjanja sta zadostna za zagotovitev, da se proizvod IKT, storitev IKT ali postopek IKT lahko uporablja za zmanjševanje tveganj, opredeljenih v oceni tveganja na ravni subjekta. Subjekt s kritičnim učinkom dokumentira ukrepe, sprejete za zmanjšanje opredeljenih tveganj.

5.   Minimalne in razširjene kontrole kibernetske varnosti v dobavni verigi se uporabljajo za javno naročanje ustreznih proizvodov IKT, storitev IKT in postopkov IKT Minimalne in razširjene kontrole kibernetske varnosti v dobavni verigi se uporabljajo za javno naročanje pri subjektih, opredeljenih kot subjekti s kritičnim ali velikim učinkom v skladu s členom 24, ki se začne šest mesecev po sprejetju ali posodobitvi minimalnih in razširjenih kontrol kibernetske varnosti iz člena 29.

6.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo in v sodelovanju s telesom EU ODS v šestih mesecih po pripravi vsakega regionalnega poročila o oceni tveganja za kibernetsko varnost na podlagi člena 21(2) predlagajo pristojnemu organu spremembo minimalnih in razširjenih kontrol kibernetske varnosti v dobavni verigi. Predlog se opravi v skladu s členom 8(10) in upošteva tveganja, opredeljena v regionalni oceni tveganja.

1.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo, v sodelovanju s telesom EU ODS in ob posvetovanju z ENISA v sedmih mesecih po predložitvi prvega osnutka poročila o oceni tveganja za kibernetsko varnost na ravni Unije na podlagi člena 19(4) pripravijo predlog matrike za kartiranje kontrol iz člena 28(1), točki (a) in (b), glede na izbrane evropske in mednarodne standarde ter ustrezne tehnične specifikacije (v nadaljnjem besedilu: matrika za kartiranje). ENTSO za električno energijo in telo EU ODS dokumentirata enakovrednost različnih kontrol s kontrolami iz člena 28(1), točki (a) in (b).

2.   Pristojni organi lahko predložijo ENTSO za električno energijo in telesu EU ODS tako kartirane kontrole iz člena 28(1), točki (a) in (b), s sklicem na ustrezne nacionalne zakonodajne ali regulativne okvire, vključno z ustreznimi nacionalnimi standardi držav članic iz člena 25 Direktive (EU) 2022/2555. Če pristojni organ države članice zagotovi tako kartiranje, ENTSO za električno energijo in telo EU ODS vključita to nacionalno kartiranje v matriko za kartiranje.

3.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo, v sodelovanju s telesom EU ODS in ob posvetovanju z ENISA v šestih mesecih po pripravi vsakega regionalnega poročila o oceni tveganja za kibernetsko varnost na podlagi člena 21(2) predlagajo pristojnemu organu spremembo matrike za kartiranje. Predlog se opravi v skladu s členom 8(10) in upošteva tveganja, opredeljena v regionalni oceni tveganja.

1.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo in v sodelovanju s telesom EU ODS v okviru delovnega programa, ki se določi in posodablja ob vsakem sprejetju regionalnega poročila o oceni tveganja za kibernetsko varnost, pripravijo sklope nezavezujočih priporočil za javno naročanje na področju kibernetske varnosti, ki jih subjekti z velikim ali kritičnim učinkom lahko uporabijo kot podlago pri javnem naročanju proizvodov IKT, storitev IKT in postopkov IKT na območju z velikim ali kritičnim učinkom. Ta delovni program vključuje:

2.   ENTSO za električno energijo v sodelovanju s telesom EU ODS v šestih mesecih po sprejetju ali posodobitvi regionalnega poročila o oceni tveganja za kibernetsko varnost zagotovi ACER povzetek navedenega delovnega programa.

3.   Operaterji prenosnih sistemov si ob pomoči ENTSO za električno energijo in v sodelovanju s subjektom EU ODS prizadevajo za zagotovitev, da so nezavezujoča priporočila za javno naročanje na področju kibernetske varnosti, pripravljena na podlagi ustreznega regionalnega poročila o oceni tveganja za kibernetsko varnost, podobna ali primerljiva v vseh regijah obratovanja sistema. Sklopi priporočil za javno naročanje na področju kibernetske varnosti vključujejo vsaj specifikacije iz člena 33(2), točka (a). Specifikacije se, kadar je mogoče, izberejo iz evropskih in mednarodnih standardov.

4.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo in v sodelovanju s subjektom EU ODS zagotovijo, da so priporočila za javno naročanje na področju kibernetske varnosti:

1.   Nezavezujoča priporočila za javno naročanje na področju kibernetske varnosti, pripravljena na podlagi člena 35, lahko vključujejo sektorska navodila za uporabo evropskih certifikacijskih shem za kibernetsko varnost, kadar koli je ustrezna shema na voljo za vrsto proizvoda IKT, storitve IKT ali postopka IKT, ki ga uporabljajo subjekti s kritičnim učinkom, brez poseganja v okvir vzpostavitve evropskih certifikacijskih shem za kibernetsko varnosti na podlagi člena 46 Uredbe (EU) 2019/881.

2.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo in v sodelovanju s telesom EU ODS tesno sodelujejo z ENISA pri zagotavljanju sektorskih navodil, vključenih v nezavezujoča priporočila za javno naročanje na področju kibernetske varnosti iz odstavka 1.

1.   Pristojni organ ob prejemu informacij o kibernetskem napadu, o katerem se poroča:

2.   Skupina CSIRT ob seznanitvi z nepopravljeno aktivno izrabljeno ranljivostjo:

3.   Pristojni organ ob seznanitvi z nepopravljeno aktivno izrabljeno ranljivostjo:

4.   Pristojni organ se ob seznanitvi z nepopravljeno ranljivostjo, za katero še ni dokazov, da bi bila aktivno izrabljena, brez nepotrebnega odlašanja uskladi s skupino CSIRT za namene usklajenega razkrivanja ranljivosti, kot je določeno v členu 12(1) Direktive (EU) 2022/2555.

5.   Skupina CSIRT v primeru prejema informacij v zvezi s kibernetskimi grožnjami od enega ali več subjektov z velikim ali kritičnim učinkom na podlagi člena 38(6) te informacije ali vse druge informacije, ki so pomembne za preprečevanje ali, odkrivanje zadevnega tveganja, odzivanje nanj ali njegovo zmanjšanje, brez nepotrebnega odlašanja in najpozneje v štirih urah po prejemu informacij posreduje subjektom s kritičnim ali velikim učinkom v svoji državi članici ter po potrebi vsem zadevnim skupinam CSIRT in svoji nacionalni enotni kontaktni točki.

6.   Pristojni organ ob seznanitvi z informacijami v zvezi s kibernetskimi grožnjami, ki jih prejme od enega ali več subjektov z velikim ali kritičnim učinkom, te informacije posreduje skupini CSIRT za namene odstavka 5.

7.   Pristojni organi lahko odgovornosti iz odstavkov 3 in 4 v zvezi z enim ali več subjekti z velikim ali kritičnim učinkom, ki delujejo v več kot eni državi članici, v celoti ali delno prenesejo na drug pristojni organ v eni od teh držav članic na podlagi dogovora med zadevnimi pristojnimi organi.

8.   Operaterji prenosnih sistemov ob pomoči ENTSO za električno energijo in v sodelovanju s telesom EU ODS do 13. junija 2025 oblikujejo metodologijo lestvice razvrščanja kibernetskih napadov. Operaterji prenosnih sistemov lahko ob pomoči ENTSO za električno energijo in telesa EU ODS od pristojnih organov zahtevajo, da se posvetujejo z ENISA in svojimi pristojnimi organi, odgovornimi za kibernetsko varnost, da bi si zagotovili pomoč pri oblikovanju take lestvice razvrščanja. Metodologija zagotavlja razvrstitev resnosti kibernetskega napada v skladu s petimi stopnjami, pri čemer sta dve najvišji stopnji „velika“ in „kritična“. Razvrstitev temelji na oceni naslednjih parametrov:

9.   ENTSO za električno energijo v sodelovanju s telesom EU ODS do 13. junija 2026 izvede študijo izvedljivosti za oceno možnosti in finančnih stroškov, potrebnih za razvoj skupnega orodja, ki vsem subjektom omogoča izmenjavo informacij z ustreznimi nacionalnimi organi.

10.   Študija izvedljivosti obravnava možnost, da tako skupno orodje:

11.   ENTSO za električno energijo v sodelovanju s telesom EU ODS:

12.   ENTSO za električno energijo lahko v sodelovanju s telesom EU ODS analizira in spodbuja pobude, ki jih predlagajo subjekti s kritičnim ali velikim učinkom, da bi se ocenila in preskusila taka orodja za izmenjavo informacij.

1.   Vsak subjekt z velikim ali kritičnim učinkom:

2.   ENISA lahko v okviru naloge iz člena 6(2) Uredbe (EU) 2019/881 izda nezavezujoče smernice o vzpostavitvi takih zmogljivosti ali oddaji storitve v podizvajanje ponudnikom upravljanih varnostnih storitev.

3.   Vsak subjekt s kritičnim ali velikim učinkom brez nepotrebnega odlašanja in najpozneje v štirih urah po seznanitvi, da se o incidentu poroča, izmenja s svojimi skupinami CSIRT in pristojnim organom ustrezne informacije v zvezi s kibernetskim napadom, o katerem se poroča.

4.   Šteje se, da se o informacijah, povezanih s kibernetskim napadom, poroča, če izpostavljeni subjekt oceni, da ta napad v skladu z metodologijo lestvice razvrščanja kibernetskih napadov na podlagi člena 37(8) z vidika kritičnosti sega od stopnje „velika“ do stopnje „kritična“. Enotna kontaktna točka na ravni subjekta, določena v skladu z odstavkom 1, točka (c), sporoči razvrstitev incidenta.

5.   Kadar subjekti s kritičnim ali velikim učinkom skupini CSIRT priglasijo ustrezne informacije v zvezi z nepopravljenimi aktivno izrabljenimi ranljivostmi, lahko skupina CSIRT te informacije posreduje svojemu pristojnemu organu. Skupina CSIRT lahko glede na stopnjo občutljivosti priglašenih informacij na podlagi utemeljenih razlogov, povezanih s kibernetsko varnostjo, zadrži informacije ali odloži njihovo posredovanje.

6.   Vsak subjekt s kritičnim ali velikim učinkom svojim skupinam CSIRT brez nepotrebnega odlašanja posreduje vse informacije v zvezi s kibernetsko grožnjo, o kateri se poroča in ki ima lahko čezmejni učinek. Šteje se, da se o informacijah, povezanih s kibernetsko grožnjo, poroča, če je izpolnjen vsaj eden od naslednjih pogojev:

7.   Vsak subjekt s kritičnim ali velikim učinkom pri izmenjavi informacij v skladu s tem členom navede:

8.   Kadar subjekt s kritičnim ali velikim učinkom priglasi pomemben incident v skladu s členom 23 Direktive (EU) 2022/2555 in kadar poročanje o incidentu v skladu z navedenim členom vključuje ustrezne informacije, kot se zahtevajo v skladu z odstavkom 3 tega člena, poročanje, ki ga opravi subjekt v skladu s členom 23(1) navedene direktive, pomeni poročanje o informacijah v skladu z odstavkom 3 tega člena.

9.   Vsak subjekt s kritičnim ali velikim učinkom poroča svojemu pristojnemu organu ali skupini CSIRT tako, da jasno opredeli posebne informacije, ki se izmenjujejo s pristojnim organom ali skupino CSIRT samo v primerih, ko bi bila izmenjava informacij lahko vir kibernetskega napada. Vsak subjekt s kritičnim ali velikim učinkom ima pravico, da pristojnemu organu ali skupini CSIRT zagotovi nezaupno različico informacij.

1.   Subjekti s kritičnim ali velikim učinkom razvijejo potrebne zmogljivosti za obvladovanje odkritih kibernetskih napadov ob potrebni podpori ustreznega pristojnega organa, ENTSO za električno energijo in telesa EU ODS. Subjekte s kritičnim ali velikim učinkom lahko podpira skupina CSIRT, imenovana v zadevni državi članici, v okviru naloge, ki je skupinam CSIRT dodeljena na podlagi člena 11(5), točka (a), Direktive (EU) 2022/2555. Subjekti s kritičnim ali velikim učinkom izvajajo učinkovite postopke za opredelitev in razvrščanje kibernetskih napadov ter odzivanje na kibernetske napade, ki bodo ali bi lahko vplivali na čezmejne pretoke električne energije, da se čim bolj zmanjša njihov učinek.

2.   Če ima kibernetski napad učinek na čezmejne pretoke električne energije, enotne kontaktne točke izpostavljenih subjektov s kritičnim ali velikim učinkom na ravni subjekta sodelujejo pri izmenjavi informacij med njimi, ki jo usklajuje pristojni organ države članice, v kateri se je prvič poročalo o kibernetskem napadu.

3.   Subjekti s kritičnim ali velikim učinkom:

4.   Države članice lahko naloge iz odstavka 1 prenesejo tudi na regionalne koordinacijske centre v skladu s členom 37(2) Uredbe (EU) 2019/943.

1.   Kadar pristojni organ ugotovi, da je kriza pri oskrbi z električno energijo povezana s kibernetskim napadom, ki ima učinek na več kot eno državo članico, pristojni organi iz izpostavljenih držav članic, nacionalni pristojni organi, odgovorni za kibernetsko varnost, nacionalni pristojni organi za pripravljenost na tveganja in organi za obvladovanje kibernetskih kriz v omrežnih in informacijskih sistemih iz izpostavljenih držav članic skupaj ustanovijo ad hoc skupino za čezmejno krizno usklajevanje.

2.    Ad hoc skupina za čezmejno krizno usklajevanje:

3.   Kadar kibernetski napad izpolnjuje pogoje za kibernetski incident velikih razsežnosti ali se pričakuje, da jih bo izpolnjeval, ad hoc skupina za čezmejno krizno usklajevanje o tem nemudoma obvesti nacionalne organe za obvladovanje kibernetskih kriz v skladu s členom 9(1) Direktive (EU) 2022/2555 v državah članicah, na katere je incident vplival, ter Komisijo in mrežo EU-CyCLONe. V takem primeru ad hoc skupina za čezmejno krizno usklajevanje podpira mrežo EU-CyCLONe v zvezi s sektorskimi posebnostmi.

4.   Subjekti s kritičnim ali velikim učinkom razvijejo in imajo na voljo zmogljivosti, notranje smernice, načrte pripravljenosti in osebje za sodelovanje pri odkrivanju in zmanjševanju čezmejnih kriz. Subjekt s kritičnim ali velikim učinkom, na katerega vpliva sočasna kriza pri oskrbi z električno energijo, v sodelovanju s svojim pristojnim organom razišče temeljni vzrok take krize, da ugotovi, v kolikšni meri je ta povezana s kibernetskim napadom.

5.   Države članice lahko naloge iz odstavka 4 prenesejo tudi na regionalne koordinacijske centre v skladu s členom 37(2) Uredbe (EU) 2019/943.

1.   ACER v 24 mesecih po prejetem uradnem obvestilu o poročilu o oceni tveganja za celotno Unijo v tesnem sodelovanju z ENISA, ENTSO za električno energijo, telesom EU ODS, nacionalnimi pristojnimi organi, odgovornimi za kibernetsko varnost, pristojnimi organi, nacionalnimi pristojnimi organi za pripravljenost na tveganja, nacionalnimi regulativnimi organi in nacionalnimi organi za obvladovanje kibernetskih kriz v omrežnih in informacijskih sistemih pripravi za sektor električne energije načrt za obvladovanje kibernetskih kriz na ravni Unije in odzivanje nanje.

2.   Vsak pristojni organ v 12 mesecih po tem, ko ACER v skladu z odstavkom 1 pripravi za sektor električne energije načrt za obvladovanje kibernetskih kriz na ravni Unije in odzivanje nanje, pripravi nacionalni načrt za obvladovanje kibernetskih kriz in odzivanje nanje za čezmejne pretoke električne energije, pri čemer upošteva načrt za obvladovanje kibernetskih kriz na ravni Unije in nacionalni načrt pripravljenosti na tveganja, pripravljen v skladu s členom 10 Uredbe (EU) 2019/941. Ta načrt je skladen z načrtom odzivanja na kibernetske incidente velikih razsežnosti in krize na podlagi člena 9(4) Direktive (EU) 2022/2555. Pristojni organ se usklajuje s subjekti s kritičnim ali velikim učinkom ter nacionalnimi pristojnimi organi za pripravljenost na tveganja v svoji državi članici.

3.   Nacionalni načrt odzivanja na kibernetske incidente velikih razsežnosti in krize, ki se zahteva na podlagi člena 9(4) Direktive (EU) 2022/2555, se šteje za nacionalni načrt za obvladovanje kibernetske krize iz tega člena, če vključuje določbe o obvladovanju kriz in odzivanju nanje, ki se nanašajo na čezmejne pretoke električne energije.

4.   Države članice lahko naloge iz odstavkov 1 in 2 prenesejo tudi na regionalne koordinacijske centre v skladu s členom 37(2) Uredbe (EU) 2019/943.

5.   Subjekti s kritičnim ali velikim učinkom zagotovijo, da njihovi postopki obvladovanja kriz, povezani s kibernetsko varnostjo:

6.   Subjekti s kritičnim ali velikim učinkom v 12 mesecih po njihovi priglasitvi na podlagi člena 24(6) in nato vsaka tri leta pripravijo načrt za obvladovanje kriz na ravni subjekta, ki se nanaša na kibernetsko krizo in se vključi v njihove splošne načrte za obvladovanje kriz. Ta načrt vključuje vsaj naslednje:

7.   Ukrepi za obvladovanje kriz v skladu s členom 21(2), točka (c), Direktive (EU) 2022/2555 se v skladu s tem členom štejejo za načrt za obvladovanje kriz na ravni subjekta za sektor električne energije, če ta vključuje vse zahteve iz odstavka 6.

8.   Načrti za obvladovanje kriz se preskusijo med vajami na področju kibernetske varnosti iz členov 43, 44 in 45.

9.   Subjekti s kritičnim ali velikim učinkom vključijo svoje načrte za obvladovanje kriz na ravni subjekta v svoje načrte za neprekinjeno poslovanje za postopke s kritičnim ali velikim učinkom. Načrti za obvladovanje kriz na ravni subjekta vključujejo:

10.   Subjekti s kritičnim ali velikim učinkom posodobijo svoje načrte za obvladovanje kriz na ravni subjekta vsaj vsaka tri leta in kadar koli je to potrebno.

11.   ACER posodobi načrt za obvladovanje kibernetskih kriz in odzivanje nanje na ravni Unije za sektor električne energije, ki ga pripravi v skladu z odstavkom 1, vsaj vsaka tri leta in kadar koli je to potrebno.

12.   Vsak pristojni organ posodobi nacionalni načrt za obvladovanje kibernetskih kriz in odzivanje na krize na področju čezmejnih pretokov električne energije, pripravljen v skladu z odstavkom 2, vsaj vsaka tri leta in kadar koli je to potrebno.

13.   Subjekti s kritičnim ali velikim učinkom preskusijo svoje načrte neprekinjenega poslovanja vsaj enkrat na tri leta ali po večjih spremembah v postopku s kritičnim učinkom. Rezultati preskusov načrtov neprekinjenega poslovanja se dokumentirajo. Subjekti s kritičnim ali velikim učinkom lahko preskus načrta neprekinjenega poslovanja vključijo v vaje na področju kibernetske varnosti.

14.   Subjekti s kritičnim ali velikim učinkom po potrebi in vsaj enkrat na tri leta posodobijo svoj načrt neprekinjenega poslovanja, pri čemer upoštevajo rezultate preskusa.

15.   Če se pri preskusu ugotovijo pomanjkljivosti v načrtu neprekinjenega poslovanja, subjekt s kritičnim ali velikim učinkom te pomanjkljivosti odpravi v 180 koledarskih dneh po preskusu in opravi nov preskus, da dokaže učinkovitost popravnih ukrepov.

16.   Če subjekt s kritičnim ali velikim učinkom ne more odpraviti pomanjkljivosti v 180 koledarskih dneh, razloge za to navede v poročilu, ki ga predloži svojemu pristojnemu organu v skladu s členom 27.

1.   Pristojni organi sodelujejo z ENISA pri razvoju zmogljivosti zgodnjega opozarjanja glede kibernetske varnosti v sektorju električne energije v okviru pomoči državam članicam na podlagi člena 6(2) in člena 7 Uredbe (EU) 2019/881.

2.   Zmogljivosti zgodnjega opozarjanja glede kibernetske varnosti v sektorju električne energije ENISA pri izvajanju nalog iz člena 7(7) Uredbe (EU) 2019/881 omogočajo, da:

3.   Skupine CSIRT informacije, ki jih prejmejo od ENISA, nemudoma razširijo zadevnim subjektom v okviru svojih nalog, opredeljenih v členu 11(3), točka (b), Direktive (EU) 2022/2555.

4.   ACER spremlja učinkovitost zmogljivosti zgodnjega opozarjanja glede kibernetske varnosti v sektorju električne energije. ENISA pomaga ACER z zagotavljanjem vseh potrebnih informacij v skladu s členom 6(2) in členom 7(1) Uredbe (EU) 2019/881. Analiza te dejavnosti spremljanja je del spremljanja na podlagi člena 12 te uredbe.

1.   Vsak subjekt s kritičnim učinkom do 31. decembra v letu po svoji priglasitvi in nato vsaka tri leta izvede vajo na področju kibernetske varnosti, ki vključuje enega ali več scenarijev kibernetskih napadov, ki neposredno ali posredno vplivajo na čezmejne pretoke električne energije in so povezani s tveganji, ugotovljenimi med ocenami tveganja za kibernetsko varnost na ravni držav članic in subjektov v skladu s členoma 20 in 27.

2.   Z odstopanjem od odstavka 1 se lahko nacionalni pristojni organi za pripravljenost na tveganja po posvetovanju s pristojnim organom in ustreznim organom za obvladovanje kibernetskih kriz, kot je imenovan ali ustanovljen v skladu s členom 9 Direktive (EU) 2022/2555, odloči, da namesto izvedbe vaje na področju kibernetske varnosti na ravni subjekta organizira vajo na ravni države članice, kot je opisano v odstavku 1. Pristojni organ o tem obvesti:

3.   Nacionalni pristojni organi za pripravljenost na tveganja ob tehnični podpori svojih skupin CSIRT organizira vajo na področju kibernetske varnosti iz odstavka 2 na ravni države članice samostojno ali v okviru druge vaje na področju kibernetske varnosti v tej državi članici. Da bi se lahko te vaje združile, lahko nacionalni pristojni organi za pripravljenost na tveganja izvedbo vaje kibernetske varnosti na ravni države članice iz odstavka 1 preloži za eno leto.

4.   Vaje na področju kibernetske varnosti na ravni subjekta in na ravni države članice so skladne z nacionalnimi okviri obvladovanja kibernetskih kriz v skladu s členom 9(4), točka (d), Direktive (EU) 2022/2555.

5.   ENTSO za električno energijo v sodelovanju s telesom EU ODS do 31. decembra 2026 in nato vsaka tri leta zagotovi predlogo scenarija vaj za izvajanje vaj na področju kibernetske varnosti na ravni subjektov in držav članic iz odstavka 1. V tej predlogi se upoštevajo rezultati zadnje izvedene ocene tveganja za kibernetsko varnost na ravni subjekta in države članice, vključena pa so tudi ključna merila uspeha. ENTSO za električno energijo in telo EU ODS v pripravo take predloge vključita ACER in ENISA.

1.   ENTSO za električno energijo v sodelovanju s telesom EU ODS do 31. decembra 2029 in nato vsaka tri leta v vsaki regiji obratovanja sistema organizira regionalno vajo na področju kibernetske varnosti. Subjekti s kritičnim učinkom v regiji obratovanja sistema sodelujejo v regionalni vaji na področju kibernetske varnosti. ENTSO za električno energijo lahko v sodelovanju s telesom EU ODS namesto regionalne vaje na področju kibernetske varnosti v istem časovnem okviru organizira medregionalno vajo v več kot eni regiji obratovanja sistema. Pri vaji bi bilo treba upoštevati druge obstoječe ocene tveganja za kibernetsko varnost in scenarije, pripravljene na ravni Unije.

2.   ENISA podpira ENTSO za električno energijo in telo EU ODS pri pripravi in organizaciji vaje na področju kibernetske varnosti na regionalni ali medregionalni ravni.

3.   ENTSO za električno energijo v sodelovanju s telesom EU ODS šest mesecev pred izvedbo vaje o tem obvesti subjekte s kritičnim učinkom, ki bodo sodelovali v regionalni ali medregionalni vaji na področju kibernetske varnosti.

4.   Organizator redne vaje na področju kibernetske varnosti na ravni Unije v skladu s členom 7(5) Uredbe (EU) 2019/881 ali katere koli obvezne vaje na področju kibernetske varnosti, povezane s sektorjem električne energije na istem geografskem območju, lahko k sodelovanju povabi ENTSO za električno energijo in telo EU ODS. V takih primerih se obveznost iz odstavka 1 ne uporablja, če vsi subjekti s kritičnim učinkom v regiji obratovanja sistema sodelujejo pri isti vaji.

5.   Če ENTSO za električno energijo in telo EU ODS sodelujeta pri vaji na področju kibernetske varnosti iz odstavka 4, lahko regionalno ali medregionalno vajo na področju kibernetske varnosti iz odstavka 1 odložita za eno leto.

6.   ENTSO za električno energijo v usklajevanju s telesom EU ODS do 31. decembra 2027 in vsaka tri leta po tem datumu zagotovi predlogo vaje za izvajanje regionalnih in medregionalnih vaj na področju kibernetske varnosti. V tej predlogi se upoštevajo rezultati zadnje izvedene ocene tveganja za kibernetsko varnost na regionalni ravni, vključena pa so tudi ključna merila uspeha. ENTSO za električno energijo se o organizaciji in izvedbi regionalnih in medregionalnih vaj na področju kibernetske varnosti posvetuje s Komisijo ter lahko zaprosi za nasvet ACER, ENISA in Skupno raziskovalno središče.

1.   Izvajalci kritičnih storitev na zahtevo subjekta s kritičnim učinkom sodelujejo pri vajah na področju kibernetske varnosti iz člena 43(1) in (2) ter člena 44(1), kadar za subjekt s kritičnim učinkom zagotavljajo storitve na področju, ki ustreza obsegu zadevne vaje na področju kibernetske varnosti.

2.   Organizatorji vaj na področju kibernetske varnosti iz člena 43(1) in (2) ter člena 44(1) po nasvetu ENISA, če zanj zaprosijo, in v skladu s členom 7(5) Uredbe (EU) 2019/881 ustrezno vajo na področju kibernetske varnosti analizirajo in zaključijo s poročilom, v katerem povzamejo izkušnje in ki ga naslovijo na vse udeležence. Poročilo vključuje:

3.   Organizatorji vaj na področju kibernetske varnosti iz člena 43(1) in (2) ter člena 44(1) na zahtevo mreže skupin CSIRT, Skupine za sodelovanje na področju varnosti omrežnih in informacijskih sistemov ali mreže EU-CyCLONe izmenjajo rezultate zadevne vaje na področju kibernetske varnosti. Organizatorji z vsakim subjektom, ki sodeluje pri vajah, izmenjajo informacije iz odstavka 2, točki (a) in (b), tega člena. Organizatorji posredujejo seznam priporočil iz točke (c) navedenega odstavka izključno s subjekti, na katere se priporočila nanašajo.

4.   Organizatorji vaj na področju kibernetske varnosti iz člena 43(1) in (2) ter člena 44(1) redno spremljajo izvajanje priporočil v skladu z odstavkom 2, točka (c), tega člena pri subjektih, ki sodelujejo pri vajah.

1.   Subjekti iz člena 2(1) zagotovijo, da so informacije, ki se zagotovijo, prejmejo, izmenjajo ali posredujejo v skladu s to uredbo, dostopne le na podlagi potrebe po seznanitvi in v skladu z ustreznimi predpisi Unije in nacionalnimi predpisi o varnosti informacij.

2.   Subjekti iz člena 2(1) zagotovijo, da se informacije, ki se zagotovijo, prejmejo, izmenjajo ali posredujejo v skladu s to uredbo, obdelujejo in spremljajo v celotnem življenjskem ciklu teh informacij ter da se lahko ob koncu življenjskega cikla objavijo šele po anonimizaciji.

3.   Subjekti iz člena 2(1) zagotovijo, da so sprejeti vsi potrebni organizacijski in tehnični varnostni ukrepi za varovanje in zaščito zaupnosti, celovitosti, razpoložljivosti in nezatajljivosti informacij, ki se zagotovijo, prejmejo, izmenjajo ali posredujejo v skladu s to uredbo, ne glede na uporabljena sredstva. Varnostni ukrepi:

4.   Subjekti iz člena 2(1) zagotovijo, da je vsak posameznik, ki mu je odobren dostop do informacij, zagotovljenih, prejetih, izmenjanih ali posredovanih v skladu s to uredbo, seznanjen z varnostnimi pravili, ki se uporabljajo na ravni subjekta, ter z ukrepi in postopki, pomembnimi za varstvo informacij. Ti subjekti zagotovijo, da zadevni posameznik potrdi odgovornost za varovanje informacij v skladu z navodili med seznanitvijo.

5.   Subjekti iz člena 2(1) zagotovijo, da je dostop do informacij, ki se zagotovijo, prejmejo, izmenjajo ali posredujejo v skladu s to uredbo, omejen na posameznike:

6.   Subjekti iz člena 2(1) morajo imeti pisno soglasje fizične ali pravne osebe, ki je prvotno ustvarila ali zagotovila informacije, preden te informacije posredujejo tretji strani, ki ne spada na področje uporabe te uredbe.

7.   Subjekt iz člena 2(1) lahko meni, da se te informacije izmenjujejo brez upoštevanja odstavkov 1 in 4 tega člena, da se prepreči sočasna kriza pri oskrbi z električno energijo, katere temeljni vzrok je povezan s kibernetsko varnostjo, ali čezmejna kriza v Uniji v drugem sektorju. V tem primeru:

8.   Pristojni organi lahko z odstopanjem od odstavka 6 tega člena informacije, ki se zagotovijo, prejmejo, izmenjajo ali posredujejo v skladu s to uredbo, posredujejo tretji strani, ki ni navedena v členu 2(1), brez predhodnega pisnega soglasja izdajatelja informacij, vendar slednjega o tem obvestijo v najkrajšem možnem času. Pred razkritjem kakršnih koli informacij, ki se zagotovijo, prejmejo, izmenjajo ali posredujejo v skladu s to uredbo, tretji strani, ki ni navedena v členu 2(1), zadevni pristojni organ razumno zagotovi, da je zadevna tretja stran seznanjena z veljavnimi varnostnimi pravili, in pridobi razumno zagotovilo, da lahko zadevna tretja stran zagotovi varnost prejetih informacij v skladu z odstavki 1 do 5 tega člena. Pristojni organ take informacije anonimizira, ne da bi izgubil elemente, potrebne za obveščanje javnosti o neposrednem in resnem tveganju za čezmejne pretoke električne energije in možnih ukrepih za zmanjšanje tveganja, ter zaščiti identiteto izdajatelja informacij. V tem primeru tretja oseba, ki ni navedena v členu 2(1), prejete informacije zavaruje v skladu z določbami, ki že veljajo na ravni subjekta, če pa to ni mogoče, v skladu z določbami in navodili ustreznega pristojnega organa.

9.   Ta člen se ne uporablja za subjekte, ki niso navedeni v členu 2(1) in ki so prejeli informacije v skladu z odstavkom 6 tega člena. V tem primeru se uporabi odstavek 7 tega člena ali pa lahko pristojni organ temu subjektu zagotovi pisne določbe, ki se uporabljajo v primerih, ko se informacije prejmejo v skladu s to uredbo.

1.   Za vse informacije, ki se zagotovijo, prejmejo, izmenjajo ali posredujejo v skladu s to uredbo, veljajo pogoji varovanja poslovne skrivnosti iz odstavkov 2 do 5 tega člena te uredbe in zahteve iz člena 65 Uredbe (EU) 2019/943. Vse informacije, ki jih za namene izvajanja te uredbe zagotovijo, prejmejo, izmenjajo ali posredujejo subjekti iz člena 2 te uredbe, se zavarujejo ob upoštevanju stopnje zaupnosti informacij, ki jo je uporabil izdajatelj.

2.   Obveznost varovanja poklicne skrivnosti velja za subjekte iz člena 2.

3.   Nacionalni pristojni organi, odgovorni za kibernetsko varnost, nacionalni regulativni organi, nacionalni pristojni organi za pripravljenost na tveganja in skupine CSIRT si izmenjujejo vse potrebne informacije za izvajanje svojih nalog.

4.   Vse informacije, ki jih subjekti iz člena 2(1) prejmejo, izmenjajo ali posredujejo za namene izvajanja člena 23, se anonimizirajo in združijo.

5.   Brez poseganja v primere, ki jih ureja nacionalna zakonodaja, druge določbe te uredbe ali druga ustrezna zakonodaja Unije, se informacije, ki jih pri opravljanju svojih nalog prejme kateri koli subjekt ali organ, za katerega velja ta uredba, ne smejo razkriti nobenemu drugemu subjektu ali organu.

6.   Brez poseganja v nacionalno zakonodajo ali zakonodajo Unije organ, subjekt ali fizična oseba, ki prejme informacije v skladu s to uredbo, teh informacij ne sme uporabiti za noben drug namen razen za opravljanje svojih dolžnosti v skladu s to uredbo.

7.   ACER po posvetovanju z ENISA, vsemi pristojnimi organi, ENTSO za električno energijo in telesom EU ODS do 13. junija 2025 izda smernice o mehanizmih za izmenjavo informacij med vsemi subjekti iz člena 2(1), zlasti o predvidenih komunikacijskih tokovih in metodah za anonimizacijo in združevanje informacij za namene izvajanja tega člena.

8.   Informacije, ki so v skladu s pravili Unije in nacionalnimi pravili zaupne, se s Komisijo in drugimi ustreznimi organi izmenjajo le, če je izmenjava potrebna za uporabo te uredbe. Izmenjujejo se le tiste informacije, ki so potrebne in sorazmerne z namenom te izmenjave. Pri izmenjavi informacij se ohrani zaupnost teh informacij ter zaščitijo varnostni in poslovni interesi subjektov s kritičnim ali velikim učinkom.

1.   ENTSO za električno energijo v sodelovanju s telesom EU ODS do odobritve pogojev ali metodologij iz člena 6(2) oziroma načrtov iz člena 6(3) pripravi nezavezujoče smernice o naslednjih vprašanjih:

2.   ENTSO za električno energijo v sodelovanju s telesom EU ODS do 13. oktobra 2024 pripravi priporočilo o začasnem ECII. ENTSO za električno energijo v sodelovanju s telesom EU ODS o priporočenem začasnem ECII uradno obvesti pristojne organe.

3.   Pristojni organi štiri mesece po prejemu priporočenega začasnega ECII ali najpozneje do 13. februarja 2025 na podlagi priporočenega ECII opredelijo kandidate za subjekte z velikim ali kritičnim učinkom v svoji državi članici ter pripravijo začasni seznam subjektov z velikim ali kritičnim učinkom. Subjekti z velikim ali kritičnim učinkom, ki so navedeni na začasnem seznamu, lahko na podlagi previdnostnega načela prostovoljno izpolnijo svoje obveznosti iz te uredbe. Pristojni organi do 13. marca 2025 uradno obvestijo subjekte z začasnega seznama, da so bili opredeljeni kot subjekti z velikim ali kritičnim učinkom.

4.   ENTSO za električno energijo v sodelovanju s telesom EU ODS do 13. decembra 2024 pripravi začasni seznam postopkov z velikim ali kritičnim učinkom na ravni Unije. Subjekti, priglašeni v skladu z odstavkom 3, ki se na podlagi previdnostnega načela prostovoljno odločijo, da bodo izpolnili svoje obveznosti iz te uredbe, uporabijo začasni seznam postopkov z velikim ali kritičnim učinkom, da določijo začasna območja z velikim ali kritičnim učinkom ter opredelijo, katera sredstva je treba vključiti v prvo oceno tveganja za kibernetsko varnost na ravni subjekta.

5.   Vsak pristojni organ v skladu s členom 4(1) do 13. septembra 2024 ENTSO za električno energijo in telesu EU ODS predloži seznam svojih nacionalnih predpisov, ki so pomembni za vidike kibernetske varnosti čezmejnih pretokov električne energije.

6.   ENTSO za električno energijo v sodelovanju s telesom EU ODS do 13. junija 2025 pripravi začasni seznam evropskih in mednarodnih standardov in kontrol, ki jih zahteva nacionalna zakonodaja in so pomembni za vidike kibernetske varnosti čezmejnih pretokov električne energije, pri čemer upošteva informacije, ki jih zagotovijo pristojni organi.

7.   Začasni seznam evropskih in mednarodnih standardov in kontrol vključuje:

8.   ENTSO za električno energijo in telo EU ODS pri dokončnem oblikovanju začasnega seznama standardov upoštevata stališča, ki jih predložita ENISA in ACER. ENTSO za električno energijo in telo EU ODS objavita začasni seznam evropskih in mednarodnih standardov in kontrol na svojih spletiščih.

9.   ENTSO za električno energijo in telo EU ODS se posvetujeta z ENISA in ACER o predlogih nezavezujočih smernic, pripravljenih v skladu z odstavkom 1.

10.   Dokler se minimalne in razširjene kontrole kibernetske varnosti ne oblikujejo v skladu s členom 29 in ne sprejmejo v skladu s členom 8, si vsi subjekti iz člena 2(1) prizadevajo za postopno uporabo nezavezujočih smernic, pripravljenih v skladu z odstavkom 1.