1.   Denna förordning gäller cybersäkerhetsaspekter av gränsöverskridande elflöden i följande entiteters verksamhet, om de identifieras som entiteter med stor eller kritisk påverkan i enlighet med artikel 24:

2.   Följande myndigheter är ansvariga för att, som en del av sina nuvarande mandat, utföra de uppgifter som de tilldelas i denna förordning:

3.   Denna förordning ska också tillämpas på alla entiteter som inte är etablerade i unionen men som tillhandahåller tjänster till entiteter i unionen, förutsatt att de har identifierats som entiteter med stor eller kritisk påverkan av de behöriga myndigheterna i enlighet med artikel 24.2.

4.   Denna förordning påverkar inte medlemsstaternas ansvar för att skydda nationell säkerhet och deras befogenhet att skydda andra väsentliga statliga funktioner, däribland säkerställandet av statens territoriella integritet och upprätthållandet av lag och ordning.

5.   Denna förordning påverkar inte medlemsstaternas ansvar för att skydda nationell säkerhet i samband med verksamhet som rör produktion av el från kärnkraftverk, inbegripet verksamhet inom kärnenergins värdekedja, i enlighet med fördragen.

6.   Entiteter, behöriga myndigheter, gemensamma kontaktpunkter på entitetsnivå och CSIRT-enheter ska behandla personuppgifter i den utsträckning som krävs för tillämpningen av denna förordning och i enlighet med förordning (EU) 2016/679, i synnerhet ska sådan behandling baseras på artikel 6 i den förordningen.

1.   Så snart som möjligt och under alla omständigheter senast den 13 december 2024 ska varje medlemsstat utse en nationell statlig myndighet eller tillsynsmyndighet som ska ansvara för att utföra de uppgifter som den tilldelas genom denna förordning (behörig myndighet). Fram till dess att den behöriga myndigheten har fått i uppdrag att utföra uppgifterna enligt denna förordning ska den tillsynsmyndighet som utsetts av varje medlemsstat i enlighet med artikel 57.1 i direktiv (EU) 2019/944 utföra den behöriga myndighetens uppgifter i enlighet med denna förordning.

2.   Medlemsstaterna ska utan dröjsmål underrätta kommissionen, Acer, Enisa, samarbetsgruppen för nät- och informationssäkerhet, som inrättats i enlighet med artikel 14 i direktiv (EU) 2022/2555, och gruppen för samordning på elområdet, som inrättats genom artikel 1 i kommissionens beslut av den 15 november 2012 (17), och meddela dem namnet på och kontaktuppgifterna för den behöriga myndighet som utsetts i enlighet med punkt 1 i denna artikel och eventuella senare ändringar därav.

3.   Medlemsstaterna får tillåta att deras behöriga myndighet delegerar uppgifter som den tilldelats genom denna förordning till andra nationella myndigheter, med undantag för de uppgifter som anges i artikel 5. Varje behörig myndighet ska övervaka att de myndigheter till vilka den har delegerat uppgifter tillämpar denna förordning. Den behöriga myndigheten ska för de myndigheter till vilka en uppgift har delegerats meddela namn, kontaktuppgifter, tilldelade uppgifter och eventuella senare ändringar därav till kommissionen, Acer, gruppen för samordning på elområdet, Enisa och samarbetsgruppen för nät- och informationssäkerhet.

1.   Systemansvariga för överföringssystem ska, i samarbete med EU DSO-enheten, utarbeta förslag till villkor eller metoder i enlighet med punkt 2, eller till planer i enlighet med punkt 3.

2.   Följande villkor eller metoder, och eventuella ändringar av dessa, ska vara föremål för alla behöriga myndigheters godkännande:

3.   Förslagen till regionala planer för reducering av cybersäkerhetsrisker i enlighet med artikel 22 ska godkännas av alla behöriga myndigheter i den berörda systemdriftsregionen.

4.   De förslag till villkor eller metoder som förtecknas i punkt 2 eller till planer som förtecknas i punkt 3 ska innehålla ett förslag till tidsplan för genomförande och en beskrivning av förväntad effekt på målen för denna förordning.

5.   EU DSO-enheten får lämna ett motiverat yttrande till de berörda systemansvariga för överföringssystem fram till tre veckor före tidsfristen för att lämna in förslaget till villkor, metoder eller planer till de behöriga myndigheterna. De systemansvariga för överföringssystem som ansvarar för förslaget till villkor, metoder eller planer ska beakta det motiverade yttrandet från EU DSO-enheten innan de lämnar in förslaget för de behöriga myndigheternas godkännande. Om EU DSO-enhetens yttrande inte beaktas, ska de systemansvariga för överföringssystem motivera det.

6.   Vid gemensam utveckling av villkor, metoder och planer ska deltagande systemansvariga för överföringssystem ha ett nära samarbete. Systemansvariga för överföringssystem ska, med bistånd från Entso för el och i samarbete med EU DSO-enheten, regelbundet informera behöriga myndigheter och Acer om framstegen med att utveckla villkoren, metoderna eller planerna.

1.   Systemansvariga för överföringssystem som beslutar om förslag till villkor eller metoder ska, om de inte kan nå en överenskommelse, fatta beslut med kvalificerad majoritet. En kvalificerad majoritet för sådana förslag ska beräknas enligt följande:

2.   En blockerande minoritet i fråga om beslut om förslag till villkor eller metoder som förtecknas i artikel 6.2 ska omfatta systemansvariga för överföringssystem som representerar minst fyra medlemsstater; i annat fall ska den kvalificerade majoriteten anses vara uppnådd.

3.   En systemdriftsregions systemansvariga för överföringssystem som beslutar om förslag till planer som förtecknas i artikel 6.2 ska, om de inte kan nå en överenskommelse och den berörda systemdriftsregionen består av fler än fem medlemsstater, fatta beslut med kvalificerad majoritet. För en kvalificerad majoritet för förslag som förtecknas i artikel 6.2 krävs

4.   En blockerande minoritet i fråga om beslut om förslagen till planerna ska inkludera åtminstone ett minimiantal systemansvariga för överföringssystem som representerar mer än 35 % av befolkningen i de deltagande medlemsstaterna, samt systemansvariga för överföringssystem som representerar ytterligare minst en berörd medlemsstat; i annat fall ska den kvalificerade majoriteten anses vara uppnådd.

5.   Då systemansvariga för överföringssystem beslutar om förslag till villkor eller metoder enligt artikel 6.2 ska en röst tillskrivas varje medlemsstat. Om det finns flera systemansvariga för överföringssystem på en medlemsstats territorium, ska medlemsstaten fördela röstvärdet mellan de systemansvariga för överföringssystem.

6.   Om de systemansvariga för överföringssystem, i samarbete med EU DSO-enheten, inte kan lämna in ett ursprungligt eller ändrat förslag till villkor, metoder eller planer till de relevanta behöriga myndigheterna inom de tidsfrister som anges i denna förordning, ska de lämna in de relevanta utkasten till villkor, metoder eller planer till de berörda behöriga myndigheterna och Acer. De ska förklara vad som har förhindrat en överenskommelse. De behöriga myndigheterna ska gemensamt vidta lämpliga åtgärder för att anta de nödvändiga villkoren, metoderna eller planerna. Detta kan till exempel göras genom att begära ändringar av utkasten i enlighet med denna punkt, genom att revidera och komplettera de utkasten eller, i de fall då inga utkast har lämnats in, genom att fastställa och godkänna de nödvändiga villkoren, metoderna eller planerna.

1.   De systemansvariga för överföringssystem ska lämna in förslagen till villkor, metoder eller planer för godkännande till de relevanta behöriga myndigheterna inom de respektive tidsfrister som anges i artiklarna 18, 23, 29, 33, 34, 35 och 37. De behöriga myndigheterna får gemensamt förlänga dessa tidsfrister under exceptionella omständigheter, särskilt i fall där en tidsfrist inte kan hållas på grund av omständigheter som de systemansvariga för överföringssystem eller EU DSO-enheten inte kan kontrollera.

2.   Förslag till villkor, metoder eller planer enligt punkt 1 ska lämnas in för kännedom till Acer samtidigt som de lämnas in till de behöriga myndigheterna.

3.   På gemensam begäran av de nationella tillsynsmyndigheterna ska Acer avge ett yttrande om förslaget till villkor, metoder eller planer inom sex månader från mottagandet av förslagen till villkor, metoder eller planer och underrätta de nationella tillsynsmyndigheterna och de behöriga myndigheterna om yttrandet. Nationella tillsynsmyndigheter, behöriga myndigheter med ansvar för cybersäkerhet och alla andra myndigheter som har utsetts till behöriga myndigheter ska samordna med varandra innan de nationella tillsynsmyndigheterna begär ett yttrande från Acer. Acer får inkludera rekommendationer i ett sådant yttrande. Acer ska samråda med Enisa innan Acer avger ett yttrande om de förslag som förtecknas i artikel 6.2.

4.   De behöriga myndigheterna ska samråda, samordna och driva ett nära samarbete med varandra för att nå en överenskommelse om de föreslagna villkoren, metoderna eller planerna. Innan de godkänner villkoren, metoderna eller planerna ska de vid behov se över och komplettera förslagen, efter samråd med Entso för el och EU DSO-enheten, för att säkerställa att förslagen är förenliga med denna förordning och bidrar till en hög gemensam cybersäkerhetsnivå i hela unionen.

5.   De behöriga myndigheterna ska besluta om villkoren, metoderna eller planerna inom sex månader från det att den relevanta behöriga myndigheten eller, i tillämpliga fall, från det att den sista relevanta behöriga myndigheten tagit emot villkoren, metoderna eller planerna.

6.   Om Acer avger ett yttrande ska de relevanta behöriga myndigheterna beakta detta yttrande och fatta sina beslut inom sex månader från mottagandet av Acers yttrande.

7.   Om de behöriga myndigheterna gemensamt kräver en ändring av de föreslagna villkoren, metoderna eller planerna för att godkänna dem, ska de systemansvariga för överföringssystem, i samarbete med EU DSO-enheten, utarbeta ett förslag till en sådan ändring av villkoren, metoderna eller planerna. De systemansvariga för överföringssystem ska inom två månader från de behöriga myndigheternas begäran lämna in det ändrade förslaget för godkännande. De behöriga myndigheterna ska besluta om de ändrade villkoren, metoderna eller planerna inom två månader från det att de lämnats in.

8.   Om de behöriga myndigheterna inte har kunnat nå någon överenskommelse inom den tid som anges i punkt 5 eller 7, ska de underrätta kommissionen om detta. Kommissionen får vidta lämpliga åtgärder för att göra det möjligt att anta de villkor, metoder eller planer som krävs.

9.   De systemansvariga för överföringssystem, med bistånd från Entso för el, och av EU DSO-enheten, ska offentliggöra villkoren, metoderna eller planerna på sina webbplatser efter godkännande av de relevanta behöriga myndigheterna, såvida inte denna information anses vara konfidentiell i enlighet med artikel 47.

10.   De behöriga myndigheterna får gemensamt begära förslag till ändringar av de godkända villkoren, metoderna eller planerna från de systemansvariga för överföringssystem och EU DSO-enheten och fastställa en tidsfrist för inlämning av dessa förslag. De systemansvariga för överföringssystem, i samarbete med EU DSO-enheten, får även på eget initiativ lämna förslag till ändringar till de behöriga myndigheterna. Förslagen till ändring av villkoren, metoderna eller planerna ska utarbetas och godkännas i enlighet med förfarandet i denna artikel.

11.   Minst vart tredje år efter det första antagandet av respektive villkor, metoder eller planer, ska de systemansvariga för överföringssystem i samarbete med EU DSO-enheten se över de antagna villkorens, metodernas eller planernas effektivitet och utan onödigt dröjsmål rapportera resultaten av översynen till de behöriga myndigheterna och Acer.

1.   De systemansvariga för överföringssystem ska, med bistånd från Entso för el och i samarbete med EU DSO-enheten, samråda med intressenter, däribland Acer, Enisa och varje medlemsstats behöriga myndighet, om utkasten till förslag till de villkor eller metoder som förtecknas i artikel 6.2 och till de planer som avses i artikel 6.3. Samrådet ska vara i minst en månad.

2.   Förslag till villkor eller metoder som förtecknas i artikel 6.2 och som lämnas in av de systemansvariga för överföringssystem, i samarbete med EU DSO-enheten, ska offentliggöras och lämnas in för samråd på unionsnivå. Förslag till planer som avses i artikel 6.3 och som lämnas in på regional nivå av de relevanta systemansvariga för överföringssystem, i samarbete med EU DSO-enheten, ska lämnas in för samråd på åtminstone regional nivå.

3.   De systemansvariga för överföringssystem, med bistånd från Entso för el, och EU DSO-enheten som ansvarar för förslaget till villkor, metoder eller planer ska vederbörligen beakta de synpunkter från intressenter som framkommit vid de samråd som genomförts i enlighet med punkt 1, innan förslaget lämnas in för formellt godkännande. I samtliga fall ska en välgrundad motivering för eller emot införande av synpunkterna från samrådet tillhandahållas tillsammans med inlämnandet och offentliggöras i god tid före, eller samtidigt med, förslaget till villkor eller metoder.

1.   De kostnader som bärs av de systemansvariga för överföringssystem och de systemansvariga för distributionssystem och som härrör från de skyldigheter som fastställs i denna förordning och är föremål för reglerade nättariffer, inbegripet de kostnader som bärs av Entso för el och EU DSO-enheten, ska bedömas av den relevanta nationella tillsynsmyndigheten i varje medlemsstat.

2.   Kostnader som bedöms vara rimliga, effektiva och proportionella ska täckas genom nättariffer eller andra lämpliga mekanismer, som fastställs av den relevanta nationella tillsynsmyndigheten.

3.   På begäran av de relevanta nationella tillsynsmyndigheterna ska de systemansvariga för överföringssystem och systemansvariga för distributionssystem som avses i punkt 1, inom en rimlig tidsperiod som fastställs av den nationella tillsynsmyndigheten, tillhandahålla den information som krävs för att underlätta bedömningen av de uppkomna kostnaderna.

1.   Acer ska övervaka genomförandet av denna förordning i enlighet med artikel 32.1 i förordning (EU) 2019/943 och artikel 4.2 i förordning (EU) 2019/942. Under övervakningen får Acer samarbeta med Enisa och begära stöd från Entso för el och EU DSO-enheten. Acer ska regelbundet informera gruppen för samordning på elområdet och samarbetsgruppen för nät- och informationssäkerhet om genomförandet av denna förordning.

2.   Acer ska minst vart tredje år efter denna förordnings ikraftträdande offentliggöra en rapport för att

3.   Senast den 13 juni 2025 får Acer, i samarbete med Enisa och efter samråd med Entso för el och EU DSO-enheten, utfärda en vägledning om den relevanta information som ska meddelas Acer för övervakningsändamål samt om processen och frekvensen för insamlingen, på grundval av de resultatindikatorer som fastställs i enlighet med punkt 5.

4.   De behöriga myndigheterna kan få åtkomst till relevant information som innehas av Acer och som samlats in i enlighet med denna artikel.

5.   Acer ska i samarbete med Enisa och med stöd av Entso för el och EU DSO-enheten utfärda icke-bindande resultatindikatorer för bedömning av operativ tillförlitlighet avseende cybersäkerhetsaspekter av gränsöverskridande elflöden.

6.   De entiteter som förtecknas i artikel 2.1 i denna förordning ska till Acer lämna den information som krävs för att Acer ska kunna utföra de uppgifter som förtecknas i punkt 2.

1.   Senast den 13 juni 2025 ska Acer, i samarbete med Enisa, upprätta en icke-bindande vägledning för riktmärkning av cybersäkerhet. Vägledningen ska ge de nationella tillsynsmyndigheterna en förklaring av principerna för de genomförda cybersäkerhetskontrollernas riktmärkning i enlighet med punkt 2 i denna artikel, med beaktande av kostnaderna för att genomföra kontrollerna och effektiviteten hos de processer, produkter, tjänster, system och lösningar som används för att genomföra sådana kontroller. Acer ska beakta befintliga riktmärkningsrapporter vid fastställandet av den icke-bindande vägledningen för riktmärkning av cybersäkerhet. Acer ska lämna den icke-bindande vägledningen för riktmärkning av cybersäkerhet till de nationella tillsynsmyndigheterna för kännedom.

2.   Inom 12 månader från upprättandet av vägledningen för riktmärkning i enlighet med punkt 1 ska de nationella tillsynsmyndigheterna genomföra en riktmärkningsanalys för att bedöma om nuvarande investeringar i cybersäkerhet

3.   För riktmärkningsanalysen får de nationella tillsynsmyndigheterna ta hänsyn till den icke-bindande vägledning för riktmärkning av cybersäkerhet som fastställts av Acer, och ska de särskilt bedöma

4.   All information som rör riktmärkningsanalys ska hanteras och behandlas i enlighet med dataklassificeringskraven i denna förordning, cybersäkerhetskontrollerna på lägsta nivå och rapporten om bedömning av cybersäkerhetsrisker i samband med gränsöverskridande elflöden. Den riktmärkningsanalys som avses i punkterna 2 och 3 får inte offentliggöras.

5.   Utan att det påverkar konfidentialitetskraven i artikel 47 och behovet av att skydda säkerheten för entiteter som omfattas av bestämmelserna i denna förordning ska den riktmärkningsanalys som avses i punkterna 2 och 3 i denna artikel delas med alla nationella tillsynsmyndigheter, alla behöriga myndigheter, Acer, Enisa och kommissionen.

1.   Inom 18 månader från denna förordnings ikraftträdande ska de systemansvariga för överföringssystem i en systemdriftsregion som gränsar till ett tredjeland sträva efter att med det angränsande tredjelandets systemansvariga för överföringssystem nå en överenskommelse som står i överensstämmelse med relevant unionsrätt och som utgör grunden för samarbetet kring cybersäkerhetsskydd och samarbetsarrangemangen avseende cybersäkerhet med dessa systemansvariga för överföringssystem.

2.   De systemansvariga för överföringssystem ska informera den behöriga myndigheten om de överenskommelser som nåtts i enlighet med punkt 1.

1.   Entiteter som inte är etablerade i unionen, men tillhandahåller tjänster till entiteter i unionen och har anmälts som entiteter med stor eller kritisk påverkan i enlighet med artikel 24.6, ska inom tre månader från anmälan skriftligen utse en företrädare i unionen och informera den anmälande behöriga myndigheten om detta.

2.   Till denna företrädare kan varje behörig myndighet eller CSIRT-enhet i unionen vända sig utöver eller i stället för entiteten med stor eller kritisk påverkan i frågor som gäller de skyldigheter som den entiteten har enligt denna förordning Entiteten med stor eller kritisk påverkan ska ge sin rättsliga företrädare nödvändiga befogenheter och tillräckliga resurser för att garantera ett effektivt samarbete i rätt tid med de relevanta behöriga myndigheterna eller CSIRT-enheterna.

3.   Företrädaren ska vara etablerad i en av de medlemsstater där entiteten erbjuder sina tjänster. Entiteten ska anses omfattas av jurisdiktionen i den medlemsstat där företrädaren är etablerad. Entiteter med stor eller kritisk påverkan ska anmäla den rättsliga företrädarens namn, postadress, e-postadress och telefonnummer till den behöriga myndigheten i den medlemsstat där den rättsliga företrädaren har sin hemvist eller är etablerad.

4.   Det ska vara möjligt att hålla den utsedda rättsliga företrädaren ansvarig för bristande efterlevnad av skyldigheterna enligt denna förordning, utan att det påverkar de skadeståndskrav och rättsliga åtgärder som kan riktas direkt mot entiteten med stor eller kritisk påverkan.

5.   Om det inte finns någon företrädare i unionen som utsetts enligt denna artikel, får varje medlemsstat där entiteten tillhandahåller tjänster vidta rättsliga åtgärder mot entiteten för bristande efterlevnad av skyldigheterna enligt denna förordning.

6.   Att en rättslig företrädare inom unionen utses enligt punkt 1 ska inte utgöra en etablering i unionen.

1.   Entso för el och EU DSO-enheten ska samarbeta vid utförandet av bedömningar av cybersäkerhetsrisker i enlighet med artiklarna 19 och 21, och i synnerhet vid följande uppgifter:

2.   Samarbetet mellan Entso för el och EU DSO-enheten kan ske i form av en arbetsgrupp för cybersäkerhetsrisker.

3.   Entso för el och EU-DSO-enheten ska regelbundet informera Acer, Enisa, samarbetsgruppen för nät- och informationssäkerhet och gruppen för samordning på elområdet om framstegen med genomförandet av de unionsomfattande och regionala bedömningarna av cybersäkerhetsrisker i enlighet med artiklarna 19 och 21.

1.   Senast den 13 mars 2025 ska de systemansvariga för överföringssystem, med bistånd från Entso för el, i samarbete med EU DSO-enheten och efter samråd med samarbetsgruppen för nät- och informationssäkerhet, lämna in ett förslag till metoder för bedömning på unionsnivå, regional nivå och medlemsstatsnivå av cybersäkerhetsrisker.

2.   Metoderna för bedömning på unionsnivå, regional nivå och medlemsstatsnivå av cybersäkerhetsrisker ska innehålla följande:

3.   Metoderna för bedömning på unionsnivå, regional nivå och medlemsstatsnivå av cybersäkerhetsrisker ska vid bedömningen av cybersäkerhetsrisker använda samma riskpåverkansmatris. Riskpåverkansmatrisen ska

4.   I metoderna för bedömning på unionsnivå av cybersäkerhetsrisker ska det beskrivas hur tröskelvärden, i form av ECII-värden, för stor och kritisk påverkan kommer att fastställas. ECII-värdet ska göra det möjligt för entiteterna att, med hjälp av de kriterier som avses i punkt 2 b, uppskatta påverkan av riskerna på deras verksamhetsprocess under de konsekvensbedömningar för verksamheten som de utför i enlighet med artikel 26.4 c i.

5.   Entso för el, i samordning med EU DSO-enheten, ska informera gruppen för samordning på elområdet om de förslag till metoder för bedömning av cybersäkerhetsrisker som utarbetas i enlighet med punkt 1.

1.   Inom nio månader från godkännandet av metoderna för bedömning av cybersäkerhetsrisker i enlighet med artikel 8 och därefter vart tredje år ska Entso för el, i samarbete med EU DSO-enheten och i samråd med samarbetsgruppen för nät- och informationssäkerhet, utan att det påverkar tillämpningen av artikel 22 i direktiv (EU) 2022/2555, göra en unionsomfattande bedömning av cybersäkerhetsrisker och utarbeta ett utkast till rapport om den unionsomfattande bedömningen av cybersäkerhetsrisker. För detta ändamål ska de att använda de metoder som utvecklats i enlighet med artikel 18 och godkänts i enlighet med artikel 8, för att identifiera, analysera och utvärdera de möjliga konsekvenserna av cyberangrepp som påverkar elsystemets driftsäkerhet och stör de gränsöverskridande elflödena. I den unionsomfattande bedömningen av cybersäkerhetsrisker ska inte cyberangreppens rättsliga, ekonomiska eller anseendemässiga skada beaktas.

2.   Den rapporten om den unionsomfattande bedömningen av cybersäkerhetsrisker ska innehålla följande:

3.   När det gäller de unionsomfattande processerna med stor påverkan och de unionsomfattande processerna med kritisk påverkan ska rapporten om den unionsomfattande bedömningen av cybersäkerhetsrisker innehålla följande:

4.   Entso för el ska, i samarbete med EU DSO-enheten, lämna in utkastet till rapporten om den unionsomfattande bedömningen av cybersäkerhetsrisker med resultaten av den unionsomfattande bedömningen av cybersäkerhetsrisker till Acer för yttrande. Acer ska avge ett yttrande om utkastet till rapport inom tre månader från mottagandet. Entso för el och EU DSO-enheten ska ta största möjliga hänsyn till Acers yttrande när rapporten slutförs.

5.   Inom tre månader från mottagandet av Acers yttrande ska Entso för el, i samarbete med EU DSO-enheten, anmäla den slutliga rapporten om den unionsomfattande bedömningen av cybersäkerhetsrisker till Acer, kommissionen, Enisa och de behöriga myndigheterna.

1.   Varje behörig myndighet ska utföra en bedömning på medlemsstatsnivå av cybersäkerhetsrisker för alla entiteter med stor och kritisk påverkan i sin medlemsstat med hjälp av de metoder som utvecklats i enlighet med artikel 18 och godkänts i enlighet med artikel 8. I bedömningen på medlemsstatsnivå av cybersäkerhetsrisker ska riskerna för cyberangrepp som påverkar elsystemets driftsäkerhet och stör de gränsöverskridande elflödena identifieras och analyseras. Bedömningen på medlemsstatsnivå av cybersäkerhetsrisker ska inte beakta cyberangreppens rättsliga, ekonomiska eller anseendemässiga skada.

2.   Inom 21 månader från det att entiteterna med stor och kritisk påverkan underrättats i enlighet med artikel 24.6 och vart tredje år efter det datumet, och efter samråd med den behöriga myndigheten med ansvar för cybersäkerhet, ska varje behörig myndighet, med stöd av CSIRT-enheten, tillhandahålla en bedömning på medlemsstatsnivå av cybersäkerhetsrisker till Entso för el och EU DSO-enheten, med följande information för varje verksamhetsprocess med stor och kritisk påverkan:

3.   I rapporten om bedömning på medlemsstatsnivå av cybersäkerhetsrisker ska medlemsstatens riskberedskapsplan som upprättats i enlighet med artikel 10 i förordning (EU) 2019/941 beaktas.

4.   Informationen i rapporten om bedömning på medlemsstatsnivå av cybersäkerhetsrisker enligt punkt 2 a–d får inte vara kopplad till specifika entiteter eller tillgångar. Rapporten om bedömning på medlemsstatsnivå av cybersäkerhetsrisker ska också innehålla en riskbedömning av de tillfälliga undantag som utfärdats av de behöriga myndigheterna i medlemsstaterna i enlighet med artikel 30.

5.   Entso för el och EU DSO-enheten får begära ytterligare information från de behöriga myndigheterna i samband med de uppgifter som anges i punkt 2 a och 2 c.

6.   De behöriga myndigheterna ska se till att den information de lämnar är exakt och korrekt.

1.   Entso för el ska, i samarbete med EU DSO-enheten och i samråd med det berörda regionala samordningscentrumet, utföra en bedömning på regional nivå av cybersäkerhetsrisker för varje systemdriftsregion med hjälp av de metoder som utvecklats i enlighet med artikel 19 och godkänts i enlighet med artikel 8, för att identifiera, analysera och utvärdera riskerna för cyberangrepp som påverkar elsystemets driftsäkerhet och stör de gränsöverskridande elflödena. Bedömningarna på regional nivå av cybersäkerhetsrisker ska inte beakta cyberangreppens rättsliga, ekonomiska eller anseendemässiga skada.

2.   Inom 30 månader från det att entiteterna med stor och kritisk påverkan underrättats i enlighet med artikel 24.6, och vart tredje år därefter, ska Entso för el, i samarbete med EU DSO-enheten och i samråd med samarbetsgruppen för nät- och informationssäkerhet, utarbeta en rapport om bedömningen på regional nivå av cybersäkerhetsrisker för varje systemdriftsregion.

3.   Rapporten om bedömningen på regional nivå av cybersäkerhetsrisker ska beakta den relevanta informationen i rapporterna om unionsomfattande bedömning av cybersäkerhetsrisker och i rapporterna om bedömning på medlemsstatsnivå av cybersäkerhetsrisker.

4.   Bedömningen på regional nivå av cybersäkerhetsrisker ska beakta de regionala elkrisscenarier med anknytning till cybersäkerhet som identifierats i enlighet med artikel 6 i förordning (EU) 2019/941.

1.   Inom 36 månader från det att entiteterna med stor och kritisk påverkan underrättats i enlighet med artikel 24.6, och senast den 13 juni 2031 och vart tredje år därefter, ska de systemansvariga för överföringssystem, med bistånd från Entso för el, i samarbete med EU DSO-enheten och i samråd med de regionala samordningscentrumen och samarbetsgruppen för nät- och informationssäkerhet, utarbeta en regional planer för reducering av cybersäkerhetsrisker för varje systemdriftsregion.

2.   De regionala planerna för reducering av cybersäkerhetsrisker ska innehålla

3.   Entso för el ska lämna in de regionala riskreduceringsplanerna till de berörda systemansvariga för överföringssystem, de behöriga myndigheterna och gruppen för samordning på elområdet. Gruppen för samordning på elområdet får rekommendera ändringar.

4.   De systemansvariga för överföringssystem ska, med bistånd från Entso för el i samarbete med EU DSO-enheten och i samråd med samarbetsgruppen för nät- och informationssäkerhet, uppdatera de regionala riskreduceringsplanerna vart tredje år, såvida inte omständigheterna kräver uppdateringar oftare.

1.   Inom 40 månader från det att entiteterna med stor och kritisk påverkan underrättats i enlighet med artikel 24.6 och vart tredje år därefter ska de systemansvariga för överföringssystem, med bistånd från Entso för el, i samarbete med EU DSO-enheten och i samråd med samarbetsgruppen för nät- och informationssäkerhet, tillhandahålla gruppen för samordning på elområdet en rapport om resultatet av bedömningen av cybersäkerhetsrisker i samband med gränsöverskridande elflöden (den övergripande rapporten om bedömning av cybersäkerhetsrisker i samband med gränsöverskridande elflöden).

2.   Den övergripande rapporten om bedömning av cybersäkerhetsrisker i samband med gränsöverskridande elflöden ska baseras på rapporterna om bedömningen på nationell nivå, regional nivå och medlemsstatsnivå av cybersäkerheten och innehålla följande information:

3.   De entiteter som förtecknas i artikel 2.1 får bidra till utarbetandet av den övergripande rapporten om bedömning av cybersäkerhetsrisker i samband med gränsöverskridande elflöden, med beaktande av informationens konfidentialitet i enlighet med artikel 47. De systemansvariga för överföringssystem ska, med bistånd från Entso för el och i samarbete med EU DSO-enheten, samråda med dessa entiteter från ett tidigt skede.

4.   Den övergripande rapporten om bedömning av cybersäkerhetsrisker i samband med gränsöverskridande elflöden ska omfattas av reglerna för skydd av informationsutbyte i enlighet med artikel 46. Utan att det påverkar tillämpningen av artiklarna 10.4 och 47.4 ska Entso för el och EU DSO-enheten publicera en offentlig version av rapporten som inte får innehålla information som kan orsaka skada för de entiteter som förtecknas i artikel 2.1. Den offentliga versionen av denna rapport ska endast publiceras med godkännande från samarbetsgruppen för nät- och informationssäkerhet och gruppen för samordning på elområdet. Entso för el ska i samordning med EU DSO-enheten ansvara för sammanställningen och publiceringen av den offentliga versionen av rapporten.

1.   Varje behörig myndighet ska, genom att använda ECII och de tröskelvärden för stor och kritisk påverkan som ingår i rapporten om den unionsomfattande bedömningen av cybersäkerhetsrisker i enlighet med artikel 19.3 b, identifiera de entiteter med stor och kritisk påverkan i sin medlemsstat som deltar i de unionsomfattande processerna med stor och kritisk påverkan. De behöriga myndigheterna kan begära information från en entitet i sin medlemsstat för att fastställa ECII-värdena för den entiteten. Om det fastställda ECII-värdet för en entitet ligger över tröskelvärdet för stor eller kritisk påverkan, ska den identifierade entiteten förtecknas i den rapport om bedömningen på medlemsstatsnivå av cybersäkerhetsrisker som avses i artikel 20.2.

2.   Varje behörig myndighet ska, genom att använda ECII och de tröskelvärden för stor och kritisk påverkan som ingår i rapporten om den unionsomfattande bedömningen av cybersäkerhetsrisker i enlighet med artikel 19.3 b, identifiera de entiteter med stor och kritisk påverkan som inte är etablerade i unionen i den mån de är verksamma inom unionen. Den behöriga myndigheten får begära information från en entitet som inte är etablerad i unionen för att fastställa ECII-värdena för den entiteten.

3.   Varje behörig myndighet får identifiera ytterligare entiteter i sin medlemsstat som entiteter med stor eller kritisk påverkan, om följande kriterier är uppfyllda:

4.   Om en behörig myndighet identifierar ytterligare entiteter i enlighet med punkt 3, ska alla processer vid dessa entiteter för vilka gruppens aggregerade ECII-värde ligger över tröskelvärdet för stor påverkan betraktas som processer med stor påverkan, och alla processer vid dessa entiteter för vilka gruppens aggregerade ECII-värde ligger över tröskelvärdet för kritisk påverkan betraktas som processer med kritisk påverkan.

5.   Om en behörig myndighet identifierar sådana entiteter som avses i punkt 3 a i mer än en medlemsstat, ska den informera de andra behöriga myndigheterna, Entso för el och EU DSO-enheten. Entso för el ska i samarbete med EU DSO-enheten, på grundval av den information som tagits emot från alla behöriga myndigheter, tillhandahålla de behöriga myndigheterna en analys av aggregerade entiteter i mer än en medlemsstat som kan orsaka en utbredd störning (distributed disturbance) av de gränsöverskridande elflödena och resultera i ett cyberangrepp. Om en grupp entiteter i flera medlemsstater identifieras som en aggregering vars ECII-värde ligger över tröskelvärdet för stor eller kritisk påverkan, ska alla berörda behöriga myndigheter identifiera entiteterna i en sådan grupp som entiteter med stor eller kritisk påverkan för deras respektive medlemsstat, baserat på det aggregerade ECII-värdet för gruppen av entiteter, och de identifierade entiteterna ska förtecknas i rapporten om den unionsomfattande bedömningen av cybersäkerhetsrisker.

6.   Varje behörig myndighet ska, inom nio månader från att ha underrättats av Entso för el och EU DSO-enheten om rapporten om den unionsomfattande bedömningen av cybersäkerhetsrisker i enlighet med artikel 19.5 och under alla omständigheter senast den 13 juni 2028 underrätta entiteterna i förteckningen om att de har identifierats som en entitet med stor eller kritisk påverkan i sin medlemsstat.

7.   När det till en behörig myndighet rapporteras att en tjänsteleverantör är en leverantör av kritiska IKT-tjänster enligt artikel 27 c ska den behöriga myndigheten anmäla detta till de behöriga myndigheterna i de medlemsstater på vars territorium leverantören har sitt säte eller sin företrädare. Den sistnämnda behöriga myndigheten ska underrätta tjänsteleverantören om att den har identifierats som en leverantör av kritiska tjänster.

1.   De behöriga myndigheterna får inrätta ett nationellt verifieringssystem för att verifiera att entiteter med kritisk påverkan som identifierats i enlighet med artikel 24.1 har genomfört den nationella rättsliga ram som ingår i den jämförelsematris som avses i artikel 34. Det nationella verifieringssystemet får baseras på en inspektion som utförs av den behöriga myndigheten, på oberoende säkerhetsrevisioner eller på ömsesidiga sakkunnigbedömningar som utförs av entiteterna med kritisk påverkan i samma medlemsstat, under den behöriga myndighetens tillsyn.

2.   Om en behörig myndighet beslutar att inrätta ett nationellt verifieringssystem, ska den säkerställa att verifieringen utförs i enlighet med följande krav:

3.   Om en behörig myndighet beslutar att inrätta ett nationellt verifieringssystem, ska den årligen rapportera till Acer om hur ofta den har utfört inspektioner inom ramen för det systemet.

1.   Varje entitet med stor och kritisk påverkan som identifierats av de behöriga myndigheterna i enlighet med artikel 24.1 ska hantera cybersäkerhetsrisker för alla sina tillgångar i sina områden med stor och kritisk påverkan. Varje entitet med stor och kritisk påverkan ska vart tredje år hantera riskerna enligt faserna i punkt 2.

2.   Varje entitet med stor och kritisk påverkan ska grunda sin hantering av cybersäkerhetsrisker på en metod som syftar till att skydda dess nätverks- och informationssystem och som omfattar följande faser:

3.   Under fasen ”Fastställande av kontext” ska varje entitet med stor och kritisk påverkan

4.   Under fasen ”Bedömning av cybersäkerhetsrisker” ska varje entitet med stor påverkan och kritisk påverkan göra följande:

5.   Under fasen ”Behandling av cybersäkerhetsrisker” ska varje entitet med stor och kritisk påverkan upprätta en riskreduceringsplan på entitetsnivå genom att välja lämpliga riskbehandlingsalternativ för att hantera riskerna och identifiera de kvarstående riskerna.

6.   Under fasen ”Acceptans av cybersäkerhetsrisker” ska varje entitet med stor och kritisk påverkan besluta, på grundval av de kriterier för riskacceptans som fastställs i punkt 3 b, huruvida den kvarstående risken ska accepteras.

7.   Varje entitet med stor och kritisk påverkan ska registrera de tillgångar som identifieras i punkt 1 i ett tillgångsinventarium. Detta tillgångsinventarium ska inte ingå i riskbedömningsrapporten.

8.   Den behöriga myndigheten får inspektera tillgångarna i inventariet under inspektionerna.

1.   Den gemensamma ramen för cybersäkerhet i elsektorn ska bestå av följande kontroller och följande ledningssystem för cybersäkerhet:

2.   Alla entiteter med stor påverkan ska tillämpa cybersäkerhetskontrollerna på lägsta nivå i enlighet med punkt 1 a inom sitt område med stor påverkan.

3.   Alla entiteter med kritisk påverkan ska tillämpa cybersäkerhetskontrollerna på avancerad nivå i enlighet med punkt 1 b inom sitt område med kritisk påverkan.

4.   Inom sju månader från överlämnandet av det första utkastet till rapport om den unionsomfattande bedömningen av cybersäkerhetsrisker i enlighet med artikel 19.4 ska den gemensamma ram för cybersäkerhet i elsektorn som avses i punkt 1 kompletteras med cybersäkerhetskontroller på lägsta nivå och avancerad nivå i den leveranskedja som utvecklats i enlighet med artikel 33.

1.   Inom sju månader från inlämnandet av det första utkastet till rapport om den unionsomfattande bedömningen av cybersäkerhetsrisker i enlighet med artikel 19.4 ska de systemansvariga för överföringssystem, med bistånd från Entso för el och i samarbete med EU DSO-enheten, utarbeta ett förslag till cybersäkerhetskontroller på lägsta nivå och avancerad nivå.

2.   Inom sex månader från utarbetandet av varje rapport om bedömningen på regional nivå av cybersäkerhetsrisker i enlighet med artikel 21.2 ska de systemansvariga för överföringssystem, med bistånd från Entso för el och i samarbete med EU DSO-enheten, föreslå den behöriga myndigheten en ändring av cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå. Förslaget kommer att utarbetas i enlighet med artikel 8.10 och kommer att ta hänsyn till de risker som identifierats i riskbedömningen på regional nivå.

3.   Cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå ska kunna verifieras genom deltagande i ett nationellt verifieringssystem i enlighet med det förfarande som fastställs i artikel 31, eller genom att genomgå oberoende säkerhetsrevisioner som utförs av tredje part i enlighet med de krav som förtecknas i artikel 25.2.

4.   De ursprungliga cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå som utarbetas i enlighet med punkt 1 ska baseras på de risker som identifieras i rapporten om den unionsomfattande bedömningen av cybersäkerhetsrisker som avses i artikel 19.5. De ändrade cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå som utarbetas i enlighet med punkt 2 ska baseras på rapporten om bedömningen på regional nivå av cybersäkerhetsrisker som avses i artikel 21.2.

5.   Cybersäkerhetskontrollerna på lägsta nivå ska omfatta kontroller för att skydda den information som utbyts i enlighet med artikel 46.

6.   Inom 12 månader från det att cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå har godkänts i enlighet med artikel 8.5, eller efter varje uppdatering i enlighet med artikel 8.10, ska de entiteter som förtecknas i artikel 2.1, och identifieras som entiteter med stor och kritisk påverkan i enlighet med artikel 24, under upprättandet av en riskreduceringsplan på entitetsnivå i enlighet med artikel 26.5, tillämpa cybersäkerhetskontrollerna på lägsta nivå inom området med stor påverkan och cybersäkerhetskontrollerna på avancerad nivå inom området med kritisk påverkan.

1.   De entiteter som förtecknas i artikel 2.1 får begära att respektive behörig myndighet beviljar ett undantag från deras skyldighet att tillämpa de cybersäkerhetskontroller på lägsta nivå och avancerad nivå som avses i artikel 29.6. Den behöriga myndigheten får bevilja ett sådant undantag av något av följande skäl:

2.   Inom tre månader från mottagandet av den begäran som avses i punkt 1 ska varje behörig myndighet besluta huruvida ett undantag från cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå ska beviljas. Undantag från cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå ska beviljas för högst tre år, med möjlighet till förlängning.

3.   Aggregerad och anonymiserad information för de undantag som beviljats ska ingå som en bilaga till den övergripande rapporten om bedömning av cybersäkerhetsrisker i samband med gränsöverskridande elflöden som avses i artikel 23. Entso för el och EU DSO-enheten ska vid behov gemensamt uppdatera förteckningen.

1.   Senast 24 månader efter antagandet av de kontroller som avses i leden a, b och c i artikel 28.1 och inrättandet av det ledningssystem för cybersäkerhet som avses i led d i den artikeln ska varje entitet med kritisk påverkan som identifierats i enlighet med artikel 24.1 på begäran av den behöriga myndigheten kunna visa att de tillämpar ledningssystemet för cybersäkerhet och cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå.

2.   Varje entitet med kritisk påverkan ska fullgöra den skyldighet som avses i punkt 1 genom att genomgå oberoende säkerhetsrevisioner utförda av tredje part i enlighet med de krav som förtecknas i artikel 25.2 eller genom att delta i ett nationellt verifieringssystem i enlighet med artikel 25.1.

3.   Verifieringen av att en entitet med kritisk påverkan på korrekt sätt tillämpar ledningssystemet för cybersäkerhet och cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå ska omfatta alla tillgångar inom entitetens område med kritisk påverkan.

4.   Verifieringen av att en entitet med kritisk påverkan på korrekt sätt tillämpar ledningssystemet för cybersäkerhet och cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå ska upprepas regelbundet senast 36 månader efter avslutandet av den första verifieringen, och vart tredje år därefter.

5.   Varje entitet med kritisk påverkan som definieras i enlighet med artikel 24 ska visa att den på korrekt sätt tillämpar de kontroller som avses i leden a, b och c i artikel 28.1 och det ledningssystem för cybersäkerhet som avses i led d i den artikeln genom att rapportera resultatet av verifieringen av tillämpningen till den behöriga myndigheten.

1.   Inom 24 månader från att ha underrättats av den behöriga myndigheten om att vara identifierad som en entitet med stor eller kritisk påverkan i enlighet med artikel 24.6 ska varje entitet med stor och kritisk påverkan inrätta ett ledningssystem för cybersäkerhet, och därefter vart tredje år se över detta, för att

2.   Tillämpningsområdet för ledningssystemet för cybersäkerhet ska omfatta alla tillgångar inom det område med stor och kritisk påverkan som tillhör entiteten med stor och kritisk påverkan.

3.   De behöriga myndigheterna ska, utan att ålägga eller diskriminera till förmån för användning av en viss typ av teknik, uppmuntra användningen av europeiska eller internationella standarder och specifikationer som rör ledningssystem för cybersäkerhet och som är relevanta för säkerheten i nätverks- och informationssystem.

1.   Inom sju månader från inlämnandet av det första utkastet till rapport om den unionsomfattande bedömningen av cybersäkerhetsrisker i enlighet med artikel 19.4 ska de systemansvariga för överföringssystem, med bistånd från Entso för el och i samarbete med EU DSO-enheten, utarbeta ett förslag till cybersäkerhetskontroller på lägsta nivå och avancerad nivå i leveranskedjan som reducerar de risker i leveranskedjan som identifierats i de unionsomfattande bedömningarna av cybersäkerhetsrisker, och kompletterar de cybersäkerhetskontroller på lägsta nivå och avancerad nivå som utarbetats i enlighet med artikel 29. Cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå i leveranskedjan ska utvecklas tillsammans med cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå i enlighet med artikel 29. Cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå i leveranskedjan ska omfatta hela livscykeln för alla IKT-produkter, IKT-tjänster och IKT-processer inom de områden med stor eller kritisk påverkan som tillhör en entitet med stor eller kritisk påverkan. Samråd ska ske med samarbetsgruppen för nät- och informationssäkerhet vid utarbetandet av förslaget till cybersäkerhetskontroller på lägsta nivå och avancerad nivå i leveranskedjan.

2.   Cybersäkerhetskontrollerna på lägsta nivå i leveranskedjan ska bestå av kontroller för entiteter med stor påverkan och enheter med kritisk påverkan, som omfattar följande:

3.   För cybersäkerhetsspecifikationerna i den rekommendation om upphandling på cybersäkerhetsområdet som avses i punkt 2 a ska entiteter med stor eller kritisk påverkan använda principerna för upphandling i enlighet med Europaparlamentets och rådets direktiv 2014/24/EU (19), i enlighet med artikel 35.4, eller fastställa egna specifikationer på grundval av resultaten av bedömningen på entitetsnivå av cybersäkerhetsrisker.

4.   Cybersäkerhetskontrollerna på avancerad nivå i leveranskedjan ska omfatta kontroller av entiteter med kritisk påverkan för att vid upphandling verifiera att IKT-produkter, IKT-tjänster och IKT-processer som kommer att användas som tillgångar med kritisk påverkan uppfyller cybersäkerhetsspecifikationerna. IKT-produkten, IKT-tjänsten eller IKT-processen ska verifieras antingen genom en europeisk ordning för cybersäkerhetscertifiering som avses i artikel 31 eller genom verifieringsåtgärder som väljs ut och organiseras av entiteten. Verifieringsåtgärderna ska vara tillräckligt grundliga och omfattande för att det ska säkerställas att IKT-produkten, IKT-tjänsten eller IKT-processen kan användas för att reducera de risker som identifierats i riskbedömningen på entitetsnivå. Entiteten med kritisk påverkan ska dokumentera de åtgärder som vidtagits för att reducera de identifierade riskerna.

5.   Cybersäkerhetskontroller på lägsta nivå och avancerad nivå i leveranskedjan ska tillämpas på upphandling av relevanta IKT-produkter, IKT-tjänster och IKT-processer. Cybersäkerhetskontrollerna på lägsta nivå och på avancerad nivå i leveranskedjan kommer att tillämpas på upphandlingsprocesser i de entiteter som identifierats som entiteter med kritisk påverkan och entiteter med stor påverkan enligt artikel 24, från sex månader efter antagandet eller uppdateringen av de cybersäkerhetskontroller på lägsta nivå och på avancerad nivå som avses i artikel 29.

6.   Inom sex månader från utarbetandet av varje rapport om bedömningen på regional nivå av cybersäkerhetsrisker i enlighet med artikel 21.2 ska de systemansvariga för överföringssystem, med bistånd från Entso för el och i samarbete med EU DSO-enheten, föreslå den behöriga myndigheten en ändring av cybersäkerhetskontrollerna på lägsta nivå och avancerad nivå i leveranskedjan. Förslaget kommer att utarbetas i enlighet med artikel 8.10 och kommer att ta hänsyn till de risker som identifierats i riskbedömningen på regional nivå.

1.   Inom sju månader från inlämnandet av det första utkastet till rapport om unionsomfattande bedömning av cybersäkerhetsrisker i enlighet med artikel 19.4 ska de systemansvariga för överföringssystem, med bistånd från Entso för el och i samarbete med EU DSO-enheten och i samråd med Enisa, utarbeta ett förslag till en matris för att jämföra de kontroller som anges i artikel 28.1 leden a och b med utvalda europeiska och internationella standarder samt relevanta tekniska specifikationer (jämförelsematrisen). Entso för el och EU DSO-enheten ska dokumentera likvärdigheten mellan de olika kontrollerna och de kontroller som anges i artikel 28.1 leden a och b.

2.   De behöriga myndigheterna får tillhandahålla Entso för el och EU DSO-enheten en jämförelse av de kontroller som anges i artikel 28.1 leden a och b med en hänvisning till tillhörande lagstiftning och regelverk på nationell nivå, inbegripet relevanta nationella standarder i medlemsstaterna i enlighet med artikel 25 i direktiv (EU) 2022/2555. Om den behöriga myndigheten i en medlemsstat tillhandahåller en sådan jämförelse, ska Entso för el och EU DSO-enheten integrera denna nationella jämförelse i jämförelsematrisen.

3.   Inom sex månader från utarbetandet av varje rapport om bedömningen på regional nivå av cybersäkerhetsrisker i enlighet med artikel 21.2 ska de systemansvariga för överföringssystem, med bistånd från Entso för el och i samarbete med EU DSO-enheten och i samråd med Enisa, föreslå den behöriga myndigheten en ändring av jämförelsematrisen. Förslaget kommer att utarbetas i enlighet med artikel 8.10 och kommer att ta hänsyn till de risker som identifierats i riskbedömningen på regional nivå.

1.   De systemansvariga för överföringssystem ska, med bistånd från Entso för el och i samarbete med EU DSO-enheten, i ett arbetsprogram som ska fastställas och uppdateras varje gång en rapport om bedömningen på regional nivå av cybersäkerhetsrisker antas, utarbeta en uppsättning icke-bindande rekommendationer om upphandling på cybersäkerhetsområdet som entiteter med stor och kritisk påverkan kan använda som grund för upphandling av IKT-produkter, IKT-tjänster och IKT-processer med stor och kritisk påverkan. Detta arbetsprogram ska omfatta följande:

2.   Entso för el ska, i samarbete med EU DSO-enheten, inom sex månader från antagandet eller uppdateringen av rapporten om bedömningen på regional nivå av cybersäkerhetsrisker tillhandahålla Acer en sammanfattning av arbetsprogrammet.

3.   De systemansvariga för överföringssystem ska, med bistånd från Entso för el, och i samarbete med EU DSO-enheten, sträva efter att säkerställa att de icke-bindande rekommendationer om upphandling på cybersäkerhetsområdet som utarbetats på grundval av den relevanta bedömningen på regional nivå av cybersäkerhetsrisker är likartade eller jämförbara mellan olika systemdriftsregioner. Uppsättningarna rekommendationer om upphandling på cybersäkerhetsområdet ska omfatta åtminstone de specifikationer som avses i artikel 33.2 a. Där så är möjligt ska specifikationerna väljas från europeiska och internationella standarder.

4.   Systemansvariga för överföringssystem ska, med bistånd från Entso för el och i samarbete med EU DSO-enheten, säkerställa att uppsättningarna rekommendationer om upphandling på cybersäkerhetsområdet

1.   De icke-bindande rekommendationer om upphandling på cybersäkerhetsområdet som utarbetats i enlighet med artikel 35 får inbegripa sektorsspecifik vägledning om användningen av europeiska ordningar för cybersäkerhetscertifiering, närhelst en lämplig ordning finns tillgänglig för en typ av IKT-produkt, IKT-tjänst eller IKT-process som används av entiteter med kritisk påverkan, utan att det påverkar ramen för inrättandet av europeiska ordningar för cybersäkerhetscertifiering i enlighet med artikel 46 i förordning (EU) 2019/881.

2.   De systemansvariga för överföringssystem ska, med bistånd från Entso för el och i samarbete med EU DSO-enheten, ha ett nära samarbete med Enisa när det gäller att tillhandahålla den sektorsspecifika vägledning som ingår i icke-bindande rekommendationer om upphandling på cybersäkerhetsområdet i enlighet med punkt 1.

1.   Om en behörig myndighet tar emot information om ett rapporteringspliktigt cyberangrepp

2.   Om en CSIRT-enhet får kännedom om en ej avhjälpt, aktivt utnyttjad sårbarhet ska den

3.   Om en behörig myndighet får kännedom om en ej avhjälpt aktivt utnyttjad sårbarhet ska den

4.   Om den behöriga myndigheten får kännedom om en ej avhjälpt sårbarhet, utan bevis för att den aktivt utnyttjas, ska den utan onödigt dröjsmål samordna med CSIRT-enheten för samordnat meddelande av sårbarhetsinformation i enlighet med artikel 12.1 i direktiv (EU) 2022/2555.

5.   Om en CSIRT-enhet tar emot information om cyberhot från en eller flera entiteter med stor eller kritisk påverkan i enlighet med artikel 38.6, ska den sprida denna information eller annan information av betydelse för att förebygga, upptäcka, reagera på eller begränsa den tillhörande risken, till entiteter med kritisk och stor påverkan i sin medlemsstat och, när så är lämpligt, till alla berörda CSIRT-enheter och till sin nationella gemensamma kontaktpunkt, utan onödigt dröjsmål och senast fyra timmar efter mottagandet av informationen.

6.   Om en behörig myndighet får kännedom om information om cyberhot från en eller flera entiteter med stor eller kritisk påverkan, ska den vidarebefordra denna information till CSIRT-enheten för tillämpning av punkt 5.

7.   De behöriga myndigheterna får helt eller delvis delegera ansvaret enligt punkterna 3 och 4 avseende en eller flera entiteter med stor eller kritisk påverkan som bedriver verksamhet i mer än en medlemsstat till en annan behörig myndighet i en av dessa medlemsstater, efter överenskommelse mellan de berörda behöriga myndigheterna.

8.   De systemansvariga för överföringssystem ska, med bistånd från Entso för el, och i samarbete med EU DSO-enheten, utarbeta en metod med en klassificeringsskala för cyberangrepp senast den 13 juni 2025. De systemansvariga för överföringssystem får, med bistånd från Entso för el och EU DSO-enheten, begära att de behöriga myndigheterna samråder med Enisa och andra behöriga myndigheter med ansvar för cybersäkerhet för bistånd vid utarbetandet av en sådan klassificeringsskala. Metoden ska ge en klassificering i fem nivåer av hur allvarlig ett cyberangrepp är, där de två högsta nivåerna är ”stor” och ”kritisk”. Klassificeringen ska grundas på en bedömning av följande parametrar:

9.   Senast den 13 juni 2026 ska Entso för el, i samarbete med EU DSO-enheten, utföra en genomförbarhetsstudie för att bedöma möjligheten att utveckla ett gemensamt verktyg som gör det möjligt för alla entiteter att dela information med relevanta nationella myndigheter, samt de finansiella kostnader som nödvändigtvis följer med.

10.   Genomförbarhetsstudien ska behandla möjligheten för ett sådant gemensamt verktyg att

11.   Entso för el ska, i samarbete med EU DSO-enheten,

12.   Entso för el får, i samarbete med EU DSO-enheten, analysera och underlätta initiativ som föreslås av entiteter med kritisk och stor påverkan för att utvärdera och testa sådana verktyg för informationsdelning.

1.   Varje entitet med stor och kritisk påverkan ska göra följande:

2.   Enisa får utfärda icke-bindande vägledning om inrättande av sådan förmåga eller om att lägga ut tjänsten på entreprenad till leverantörer av utlokaliserade säkerhetstjänster, som en del av den uppgift som definieras i artikel 6.2 i förordning (EU) 2019/881.

3.   Varje entitet med kritisk och stor påverkan ska dela relevant information om ett rapporteringspliktigt cyberangrepp med sina CSIRT-enheter och sin behöriga myndighet utan onödigt dröjsmål och senast fyra timmar efter att ha blivit medveten om att incidenten är rapporteringspliktig.

4.   Information som rör ett cyberangrepp ska anses vara rapporteringspliktig när cyberangreppet i den berörda entitetens bedömning ger en kritikalitet som sträcker sig från ”hög” till ”kritisk” enligt metoden med en klassificeringsskala för cyberangrepp i enlighet med artikel 37.8. Den gemensamma kontaktpunkt på entitetsnivå som utsetts i enlighet med punkt 1 c ska informera om incidentklassificeringen.

5.   Om entiteter med kritisk och stor påverkan anmäler relevant information om ej avhjälpta, aktivt utnyttjade sårbarheter till en CSIRT-enhet, får den senare vidarebefordra denna information till sin behöriga myndighet. Mot bakgrund av den anmälda informationens känslighetsnivå får CSIRT-enheten hålla inne informationen eller skjuta upp dess vidarebefordran av cybersäkerhetsmotiverade skäl.

6.   Varje entitet med kritisk och stor påverkan ska utan onödigt dröjsmål tillhandahålla sina CSIRT-enheter all information som rör ett rapporteringspliktigt cyberhot som kan ha en gränsöverskridande påverkan. Information som rör ett cyberhot ska anses vara rapporteringspliktig om minst ett av följande villkor är uppfyllt:

7.   Varje entitet med kritisk och stor påverkan ska, när den delar information i enlighet med denna artikel, specificera följande:

8.   När en entitet med kritisk eller stor påverkan anmäler en betydande incident i enlighet med artikel 23 i direktiv (EU) 2022/2555 och incidentrapporteringen enligt den artikeln innehåller relevant information i enlighet med punkt 3 i den här artikeln, ska entitetens rapportering enligt artikel 23.1 i det direktivet utgöra rapportering av information enligt punkt 3 i den här artikeln.

9.   Varje entitet med kritisk och stor påverkan ska rapportera till sin behöriga myndighet eller CSIRT-enhet genom att tydligt identifiera specifik information som endast ska delas med den behöriga myndigheten eller CSIRT-enheten i fall där informationsdelningen skulle kunna vara källan till ett cyberangrepp. Varje entitet med kritisk och stor påverkan ska ha rätt att lämna en icke-konfidentiell version av informationen till den behöriga CSIRT-enheten.

1.   Entiteter med kritisk och stor påverkan ska utveckla den förmåga som krävs för att hantera upptäckta cyberangrepp med nödvändigt stöd från den relevanta behöriga myndigheten, Entso för el och EU DSO-enheten. Entiteterna med kritisk och stor påverkan får stödjas av den CSIRT-enhet som utsetts i deras respektive medlemsstat som en del av den uppgift som CSIRT-enheterna tilldelas genom artikel 11.5 a i direktiv (EU) 2022/2555. Entiteterna med kritisk och stor påverkan ska införa effektiva processer för att identifiera, klassificera och reagera på cyberangrepp som kommer att påverka eller kan påverka gränsöverskridande elflöden, i syfte att minimera deras påverkan.

2.   Om ett cyberangrepp påverkar de gränsöverskridande elflödena, ska de gemensamma kontaktpunkterna på entitetsnivå för de berörda entiteterna med kritisk och stor påverkan samarbeta kring en ömsesidig informationsdelning, som ska samordnas av den behöriga myndigheten i den medlemsstat där cyberangreppet först rapporterades.

3.   Entiteterna med kritisk och stor påverkan ska göra följande:

4.   Medlemsstaterna får delegera de uppgifter som avses i punkt 1 även till de regionala samordningscentrumen i enlighet med artikel 37.2 i förordning (EU) 2019/943.

1.   När den behöriga myndigheten konstaterar att en elkris är kopplad till ett cyberangrepp som påverkar mer än en medlemsstat, ska de behöriga myndigheterna i de berörda medlemsstaterna, de behöriga myndigheterna med ansvar för cybersäkerhet, den behöriga myndigheten med ansvar för riskberedskap och NIS-cyberkrishanteringsmyndigheterna i de berörda medlemsstaterna gemensamt inrätta en tillfällig gränsöverskridande krissamordningsgrupp.

2.   Den tillfälliga gränsöverskridande krissamordningsgruppen ska

3.   Om cyberangreppet uppfyller kraven för eller förväntas uppfylla kraven för en storskalig cybersäkerhetsincident, ska den tillfälliga gränsöverskridande krissamordningsgruppen omedelbart informera de nationella cyberkrishanteringsmyndigheterna i enlighet med artikel 9.1 i direktiv (EU) 2022/2555 i de medlemsstater som påverkas av incidenten samt kommissionen och EU CyCLONe. I en sådan situation ska den tillfälliga gränsöverskridande krissamordningsgruppen stödja EU CyCLONe när det gäller sektorsspecifika särdrag.

4.   Entiteter med kritisk och stor påverkan ska utveckla och förfoga över förmåga, interna riktlinjer, beredskapsplaner och personal för att delta i upptäckt och begränsning av gränsöverskridande kriser. Den entitet med kritisk eller stor påverkan som drabbas av en samtidig elkris ska undersöka grundorsaken till denna kris i samarbete med sin behöriga myndighet för att fastställa i vilken utsträckning krisen är kopplad till ett cyberangrepp.

5.   Medlemsstaterna får delegera uppgifterna i punkt 4 även till de regionala samordningscentrumen i enlighet med artikel 37.2 i förordning (EU) 2019/943.

1.   Inom 24 månader från anmälan till Acer av rapporten om den unionsomfattande bedömningen av cybersäkerhetsrisker ska Acer i nära samarbete med Enisa, Entso för el, EU DSO-enheten, de behöriga myndigheterna med ansvar för cybersäkerhet, de behöriga myndigheterna, de behöriga myndigheterna med ansvar för riskberedskap, de nationella tillsynsmyndigheterna och de nationella NIS-cyberkrishanteringsmyndigheterna, utarbeta en plan för hantering av cybersäkerhetskriser på unionsnivå för elsektorn.

2.   Inom 12 månader från Acers utarbetande av planen för hantering av cybersäkerhetskriser på unionsnivå för elsektorn i enlighet med punkt 1 ska varje behörig myndighet utarbeta en nationell plan för hantering av cybersäkerhetskriser för gränsöverskridande elflöden, med beaktande av planen för hantering av cybersäkerhetskriser på unionsnivå och den nationella riskberedskapsplan som inrättats i enlighet med artikel 10 i förordning (EU) 2019/941. Denna plan ska vara förenlig med planen för hantering av storskaliga cybersäkerhetsincidenter i enlighet med artikel 9.4 i direktiv (EU) 2022/2555. Den behöriga myndigheten ska samordna med entiteterna med kritisk och stor påverkan och med den behöriga myndigheten med ansvar för riskberedskap i sin medlemsstat.

3.   Den nationella plan för hantering av storskaliga cybersäkerhetsincidenter som krävs enligt artikel 9.4 i direktiv (EU) 2022/2555 ska betraktas som en nationell plan för hantering av cybersäkerhetskriser enligt den här artikeln, om den omfattar bestämmelser om hantering av kriser för de gränsöverskridande elflödena.

4.   Medlemsstaterna får delegera de uppgifter som förtecknas i punkterna 1 och 2 även till de regionala samordningscentrumen i enlighet med artikel 37.2 i förordning (EU) 2019/943.

5.   Entiteterna med kritisk och stor påverkan ska säkerställa att deras cybersäkerhetsrelaterade krishanteringsprocesser

6.   Inom 12 månader från det att entiteterna med stor och kritisk påverkan underrättats i enlighet med artikel 24.6, och därefter vart tredje år, ska entiteter med kritisk och stor påverkan utarbeta en krishanteringsplan på entitetsnivå för en cybersäkerhetsrelaterad kris, och den planen ska ingå i deras allmänna krishanteringsplaner. Denna plan ska omfatta minst följande:

7.   Åtgärderna för krishantering enligt artikel 21.2 c i direktiv (EU) 2022/2555 ska betraktas som en krishanteringsplan på entitetsnivå för elsektorn enligt den här artikeln, om den uppfyller alla krav som förtecknas i punkt 6.

8.   Krishanteringsplanerna ska testas under de cybersäkerhetsövningar som avses i artiklarna 43, 44 och 45.

9.   Entiteterna med kritisk och stor påverkan ska inkludera sina krishanteringsplaner på entitetsnivå i sina kontinuitetsplaner för processerna med kritisk och stor påverkan. Krishanteringsplanerna på entitetsnivå ska omfatta följande:

10.   Entiteterna med kritisk och stor påverkan ska uppdatera sina krishanteringsplaner på entitetsnivå minst vart tredje år och när så är nödvändigt.

11.   Acer ska uppdatera den plan för hantering av cybersäkerhetskriser på unionsnivå för elsektorn som utarbetats i enlighet med punkt 1 minst vart tredje år och när så är nödvändigt.

12.   Varje behörig myndighet ska uppdatera den nationella planen för hantering av cybersäkerhetskriser för gränsöverskridande elflöden som utarbetats i enlighet med punkt 2 minst vart tredje år och när så är nödvändigt.

13.   Entiteter med kritisk och stor påverkan ska testa sina kontinuitetsplaner minst vart tredje år eller efter större förändringar i en process med kritisk påverkan. Resultatet av testerna av kontinuitetsplanen ska dokumenteras. Entiteterna med kritisk och stor påverkan får inkludera testet av sin kontinuitetsplan i cybersäkerhetsövningarna.

14.   Entiteterna med kritisk och stor påverkan ska uppdatera sin kontinuitetsplan när så är nödvändigt och minst en gång vart tredje år med beaktande av testets resultat.

15.   Om det vid ett test identifieras brister i kontinuitetsplanen ska entiteten med kritisk och stor påverkan korrigera dessa inom 180 kalenderdagar från provningen och genomföra ett nytt test för att visa att de korrigerande åtgärderna är effektiva.

16.   Om en entitet med kritisk och stor påverkan inte kan korrigera bristerna inom 180 kalenderdagar, ska den inkludera skälen i den rapport som ska lämnas till dess behöriga myndighet i enlighet med artikel 27.

1.   De behöriga myndigheterna ska samarbeta med Enisa för att utveckla en förmåga till förvarning på cybersäkerhetsområdet för elsektorn (ECEAC, Electricity Cybersecurity Early Alert Capabilities) som en del av biståndet till medlemsstaterna i enlighet med artikel 6.2 och 6.7 i förordning (EU) 2019/881.

2.   Förmågan till förvarning på cybersäkerhetsområdet för elsektorn ska göra det möjligt för Enisa, vid utförandet av de uppgifter som anges i artikel 7.7 i förordning (EU) 2019/881, att

3.   CSIRT-enheterna ska utan dröjsmål sprida den information som mottagits från Enisa till de berörda entiteterna, vilket omfattas av deras uppgifter som fastställs i artikel 11.3 b i direktiv (EU) 2022/2555.

4.   Acer ska övervaka effektiviteten avseende förmågan till förvarning på cybersäkerhetsområdet för elsektorn. Enisa ska bistå Acer genom att tillhandahålla all nödvändig information i enlighet med artiklarna 6.2 och 7.1 i förordning (EU) 2019/881. Analysen av denna övervakningsverksamhet ska ingå i övervakningen enligt artikel 12 i den här förordningen.

1.   Senast den 31 december året efter det att entiteterna med kritisk påverkan har underrättats, och därefter vart tredje år, ska varje entitet med kritisk påverkan genomföra en cybersäkerhetsövning som omfattar ett eller flera scenarier med cyberangrepp som direkt eller indirekt påverkar de gränsöverskridande elflödena och som rör de risker som identifierats under bedömningarna på medlemsstats- och entitetsnivå av cybersäkerhetsrisker i enlighet med artiklarna 20 och 27.

2.   Genom undantag från punkt 1 får den behöriga myndigheten med ansvar för riskberedskap, efter samråd med den behöriga myndigheten och den relevanta cyberkrishanteringsmyndigheten, som utsetts eller inrättats i enlighet med artikel 9 i direktiv (EU) 2022/2555, besluta att organisera en cybersäkerhetsövning på medlemsstatsnivå enligt punkt 1 i stället för på entitetsnivå. I detta avseende ska den behöriga myndigheten informera

3.   Den behöriga myndigheten med ansvar för riskberedskap ska med tekniskt stöd från sina CSIRT-enheter organisera den cybersäkerhetsövning på medlemsstatsnivå som beskrivs i punkt 2, självständigt eller i samband med en annan cybersäkerhetsövning i den medlemsstaten. För att kunna gruppera dessa övningar får den behöriga myndigheten med ansvar för riskberedskap skjuta upp den i punkt 1 avsedda cybersäkerhetsövningen på medlemsstatsnivå ett år.

4.   Cybersäkerhetsövningarna på entitetsnivå och på medlemsstatsnivå ska vara förenliga med de nationella ramarna för hantering av cybersäkerhetskriser i enlighet med artikel 9.4 d i direktiv (EU) 2022/2555.

5.   Senast den 31 december 2026, och därefter vart tredje år, ska Entso för el, i samarbete med EU DSO-enheten, göra en mall för övningsscenarier tillgänglig för genomförande av cybersäkerhetsövningar på entitets- och medlemsstatsnivå i enlighet med punkt 1. Denna mall ska beakta resultaten av den senaste bedömningen på entitets- och medlemsstatsnivå av cybersäkerhetsrisker och ska innehålla centrala kriterier för en godkänd övning. Entso för el och EU DSO-enheten ska involvera Acer och Enisa i utarbetandet av en sådan mall.

1.   Senast den 31 december 2029 och därefter vart tredje år ska Entso för el, i samarbete med EU DSO-enheten, organisera en regional cybersäkerhetsövning i varje systemdriftsregion. Entiteterna med kritisk påverkan i systemdriftsregionen ska delta i den regionala cybersäkerhetsövningen. Entso för el får, i samarbete med EU DSO-enheten, i stället för en regional cybersäkerhetsövning, organisera en regionövergripande cybersäkerhetsövning i mer än en systemdriftsregion inom samma tidsram. Övningen ska ta hänsyn till andra befintliga bedömningar av och scenarier för cybersäkerhetsrisker som utarbetats på unionsnivå.

2.   Enisa ska bistå Entso för el och EU DSO-enheten i förberedelserna och organisationen av cybersäkerhetsövningen på regional eller regionövergripande nivå.

3.   Entso för el ska, i samordning med EU DSO-enheten, informera de entiteter med kritisk påverkan som ska delta i den regionala eller regionövergripande cybersäkerhetsövningen sex månader innan övningen äger rum.

4.   En organisatör av en regelbunden cybersäkerhetsövning på unionsnivå i enlighet med artikel 7.5 i förordning (EU) 2019/881, eller av en obligatorisk cybersäkerhetsövning som rör elsektorn inom samma geografiska område, får bjuda in Entso för el och EU DSO-enheten att delta. I sådana fall gäller inte skyldigheten i punkt 1, förutsatt att alla entiteter med kritisk påverkan i systemdriftsregionen deltar i samma övning.

5.   Om Entso för el och EU DSO-enheten deltar i en cybersäkerhetsövning som avses i punkt 4, får de skjuta upp den i punkt 1 avsedda regionala eller regionövergripande cybersäkerhetsövningen ett år.

6.   Senast den 31 december 2027, och vart tredje år därefter, ska Entso för el, i samordning med EU DSO-enheten, göra en övningsmall tillgänglig för genomförandet av de regionala och regionövergripande cybersäkerhetsövningarna. Denna mall ska beakta resultaten av den senaste bedömningen på regional nivå av cybersäkerhetsrisker och ska innehålla centrala kriterier för en godkänd övning. Entso för el ska samråda med kommissionen och får rådfråga Acer, Enisa och gemensamma forskningscentrumet om organisationen och genomförandet av regionala och regionövergripande cybersäkerhetsövningar.

1.   På begäran av en entitet med kritisk påverkan ska leverantörer av kritiska tjänster delta i de cybersäkerhetsövningar som avses i artikel 43.1 och 43.2 och i artikel 44.1 när de tillhandahåller tjänster till entiteten med kritisk påverkan i det område som motsvarar omfattningen av den relevanta cybersäkerhetsövningen.

2.   Organisatörerna av de cybersäkerhetsövningar som avses i artikel 43.1 och 2 och artikel 44.1 ska, med rådgivning av Enisa om de så begär och i enlighet med artikel 7.5 i förordning (EU) 2019/881, analysera och avsluta den relevanta cybersäkerhetsövningen genom en rapport som sammanfattar lärdomarna och riktar sig till alla deltagare. Denna rapport ska innehålla följande:

3.   På begäran av CSIRT-nätverket eller samarbetsgruppen för nät- och informationssäkerhet eller EU CyCLONe ska organisatörerna av de cybersäkerhetsövningar som avses i artikel 43.1 och 43.2 och i artikel 44.1 dela med sig av resultatet av den relevanta cybersäkerhetsövningen. Organisatörerna ska dela med sig av den information som avses i punkt 2 a och b i denna artikel till varje entitet som deltar i övningarna. Organisatörerna ska dela med sig av den förteckning med rekommendationer som avses i led c uteslutande till de entiteter som rekommendationerna riktar sig till.

4.   Organisatörerna av de cybersäkerhetsövningar som avses i artikel 43.1 och 43.2 och i artikel 44.1 ska regelbundet göra en uppföljning med de entiteter som deltar i övningarna när det gäller genomförandet av rekommendationerna i enlighet med punkt 2 c i denna artikel.

1.   De entiteter som förtecknas i artikel 2.1 ska säkerställa att information som tillhandahålls, tas emot, utbyts eller överförs enligt denna förordning endast är åtkomlig på grundval av behovsenlig behörighet och i enlighet med relevanta unionsbestämmelser och nationella bestämmelser om informationssäkerhet.

2.   De entiteter som förtecknas i artikel 2.1 ska säkerställa att information som tillhandahålls, tas emot, utbyts eller överförs enligt denna förordning hanteras och spåras under informationens hela livscykel och att den får lämnas ut i slutet av dess livscykel först efter att ha anonymiserats.

3.   De entiteter som förtecknas i artikel 2.1 ska säkerställa att alla nödvändiga skyddsåtgärder av organisatorisk och teknisk karaktär finns på plats för att skydda konfidentialiteten, integriteten, tillgängligheten och oavvisligheten hos den information som tillhandahålls, tas emot, utbyts eller överförs enligt denna förordning, oberoende av vilka medel som används. Skyddsåtgärderna ska

4.   De entiteter som förtecknas i artikel 2.1 ska säkerställa att varje person som beviljas åtkomst till information som tillhandahålls, tas emot, utbyts eller överförs i enlighet med denna förordning informeras om de säkerhetsbestämmelser som är tillämpliga på entitetsnivå och om de åtgärder och förfaranden som är relevanta för skyddet av information. Dessa entiteter ska säkerställa att den berörda personen bekräftar ansvaret att skydda informationen i enlighet med de instruktioner som ges.

5.   De entiteter som förtecknas i artikel 2.1 ska säkerställa att åtkomsten till information som tillhandahålls, tas emot, utbyts eller överförs i enlighet med denna förordning begränsas till personer

6.   De entiteter som förtecknas i artikel 2.1 ska ha skriftligt samtycke från den fysiska eller juridiska person som ursprungligen skapade eller tillhandahöll informationen, innan informationen lämnas till en tredje part som inte omfattas av denna förordning.

7.   En entitet som förtecknas i artikel 2.1 får anse att denna information ska delas utan att uppfylla kraven i punkterna 1 och 4 i denna artikel för att förhindra en samtidig elkris vars bakomliggande orsak är cybersäkerhet eller en gränsöverskridande kris inom unionen i en annan sektor. I sådana fall ska den

8.   Genom undantag från punkt 6 i denna artikel får de behöriga myndigheterna tillhandahålla information som tillhandahålls, tas emot, utbyts eller överförs enligt denna förordning till en tredje part som inte förtecknas i artikel 2.1 utan skriftligt förhandsgodkännande från initiativtagaren, men så snart som möjligt informera denne. Innan den berörda behöriga myndigheten lämnar ut information som tillhandahålls, tas emot, utbyts eller överförs enligt denna förordning till en tredje part som inte förtecknas i artikel 2.1, ska den på ett rimligt sätt säkerställa att den berörda tredje parten är medveten om gällande säkerhetsbestämmelser och få rimliga garantier för att den berörda tredje parten kan skydda den mottagna informationen i enlighet med punkterna 1–5 i denna artikel. Den behöriga myndigheten ska anonymisera sådan information utan att de uppgifter förloras som är nödvändiga för att informera allmänheten om en överhängande och allvarlig risk för gränsöverskridande elflöden och möjliga begränsande åtgärder samt skydda identiteten på initiativtagaren. I detta fall ska den tredje part som inte förtecknas i artikel 2.1 skydda den mottagna informationen i enlighet med bestämmelser som redan är i kraft på entitetsnivå eller, om detta inte är möjligt, de bestämmelser och instruktioner som tillhandahålls av den relevanta behöriga myndigheten.

9.   Denna artikel är inte tillämplig på entiteter som inte förtecknas i artikel 2.1 och som tillhandahålls information i enlighet med punkt 6 i denna artikel. I detta fall ska punkt 7 i denna artikel tillämpas, eller får den behöriga myndigheten tillhandahålla den entiteten skriftliga bestämmelser som ska tillämpas i fall där information tas emot i enlighet med denna förordning.

1.   All information som tillhandahålls, tas emot, utbyts eller överförs i enlighet med denna förordning ska omfattas av de villkor om tystnadsplikt som fastställs i punkterna 2–5 i denna artikel i denna förordning och kraven i artikel 65 i förordning (EU) 2019/943. All information som tillhandahålls, tas emot, utbyts eller överförs mellan entiteter som förtecknas i artikel 2 i denna förordning ska vid tillämpningen av denna förordning skyddas, med beaktande av den konfidentialitetsnivå som initiativtagaren tillämpar för informationen.

2.   Tystnadsplikt ska gälla för de entiteter som förtecknas i artikel 2.

3.   De behöriga myndigheterna med ansvar för cybersäkerhet, de nationella tillsynsmyndigheterna, de behöriga myndigheterna med ansvar för riskberedskap och CSIRT-enheterna ska utbyta all information som är nödvändig för att de ska kunna utföra sina uppgifter.

4.   All information som tas emot, utbyts eller överförs mellan entiteter som förtecknas i artikel 2.1 för att genomföra artikel 23 ska anonymiseras och aggregeras.

5.   Information som tas emot i tjänsten av en entitet eller myndighet som omfattas av denna förordning får inte lämnas ut till någon annan entitet eller myndighet, utan att det påverkar sådana fall som omfattas av nationell lagstiftning, de övriga bestämmelserna i denna förordning eller annan tillämplig unionslagstiftning.

6.   Utan att det påverkar tillämpningen av nationell lagstiftning eller unionslagstiftning får en myndighet, en entitet eller en fysisk person som tar emot information enligt denna förordning inte använda den för något annat ändamål än att fullgöra sina skyldigheter enligt denna förordning.

7.   Acer ska, efter samråd med Enisa, alla behöriga myndigheter, Entso för el och EU DSO-enheten, senast den 13 juni 2025 till alla entiteter som förtecknas i artikel 2.1 utfärda riktlinjer för informationsutbytesmekanismer, i synnerhet planerade kommunikationsflöden, och metoder för anonymisering och aggregering av information i syfte att genomföra denna artikel.

8.   Information som är konfidentiell enligt unionsbestämmelser och nationella bestämmelser ska utbytas med kommissionen och andra relevanta myndigheter endast om ett sådant utbyte är nödvändigt för tillämpningen av denna förordning. Den information som utbyts ska begränsas till vad som är nödvändigt och proportionerligt för utbytets ändamål. Vid sådant utbyte ska informationens konfidentialitet bevaras och säkerhetsintressen och kommersiella intressen hos entiteter med kritisk och stor påverkan skyddas.

1.   Fram till godkännandet av de villkor eller metoder som avses i artikel 6.2 eller de planer som avses i artikel 6.3 ska Entso för el, i samarbete med EU DSO-enheten, utarbeta icke-bindande vägledning om följande:

2.   Senast den 13 oktober 2024 ska Entso för el, i samarbete med EU DSO-enheten, utarbeta en rekommendation om ett preliminärt ECII. Entso för el ska, i samarbete med EU DSO-enheten, anmäla det rekommenderade preliminära ECII till de behöriga myndigheterna.

3.   Fyra månader efter mottagandet av det rekommenderade preliminära ECII, eller senast den 13 februari 2025, ska de behöriga myndigheterna identifiera kandidater till entiteter med stor och kritisk påverkan i sin medlemsstat på grundval av det rekommenderade ECII, och utarbeta en preliminär förteckning över entiteter med stor och kritisk påverkan. De entiteter med stor och kritisk påverkan som identifieras i den preliminära förteckningen får frivilligt fullgöra sina skyldigheter enligt denna förordning på grundval av en försiktighetsprincip. Senast den 13 mars 2025 ska de behöriga myndigheterna underrätta de entiteter som anges i den preliminära förteckningen om att de har identifierats som en entitet med stor eller kritisk påverkan.

4.   Senast den 13 december 2024 ska Entso för el, i samarbete med EU DSO-enheten, utarbeta en preliminär förteckning över unionsomfattande processer med stor och kritisk påverkan. De entiteter som underrättats i enlighet med punkt 3 och som frivilligt beslutar att fullgöra sina skyldigheter enligt denna förordning på grundval av en försiktighetsprincip ska använda den preliminära förteckningen över processer med stor och kritisk påverkan för att fastställa de preliminära områdena med stor och kritisk påverkan och för att fastställa vilka tillgångar som ska ingå i den första bedömningen på entitetsnivå av cybersäkerhetsrisker.

5.   Senast den 13 september 2024 ska varje behörig myndighet i enlighet med artikel 4.1 tillhandahålla Entso för el och EU DSO-enheten en förteckning över den nationella lagstiftning som är relevant för cybersäkerhetsaspekter av gränsöverskridande elflöden.

6.   Senast den 13 juni 2025 ska Entso för el, i samarbete med EU DSO-enheten, utarbeta en preliminär förteckning över europeiska och internationella standarder och kontroller som föreskrivs i nationell lagstiftning och som har relevans för cybersäkerhetsaspekter av gränsöverskridande elflöden, med beaktande av den information som tillhandahålls av de behöriga myndigheterna.

7.   Den preliminära förteckningen över europeiska och internationella standarder och kontroller ska innehålla

8.   Entso för el och EU DSO-enheten ska beakta synpunkterna från Enisa och Acer när de slutför den preliminära förteckningen över standarder. Entso för el och EU DSO-enheten ska offentliggöra den preliminära förteckningen över europeiska och internationella standarder och kontroller på sina webbplatser.

9.   Entso för el och EU DSO-enheten ska samråda med Enisa och Acer om de förslag till icke-bindande riktlinjer som utarbetats i enlighet med punkt 1.

10.   Fram till dess att cybersäkerhetskontroller på lägsta och avancerad nivå utvecklas i enlighet med artikel 29 och antas i enlighet med artikel 8 ska alla entiteter som förtecknas i artikel 2.1 sträva efter att gradvis tillämpa den icke-bindande vägledning som utarbetats i enlighet med punkt 1.