Art. 18. - Metody oceny ryzyka w cyberprzestrzeni - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej
Dzienniki UE
Dz.U.UE.L.2024.1366
Akt obowiązujący Wersja od: 24 maja 2024 r.
Artykuł 18
Metody oceny ryzyka w cyberprzestrzeni
1.
Do dnia 13 marca 2025 r. OSP, z pomocą ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i po konsultacji z grupą współpracy NIS, przedkładają propozycję metod oceny ryzyka w cyberprzestrzeni na szczeblu unijnym, regionalnym i na szczeblu państw członkowskich.2.
Metody oceny ryzyka w cyberprzestrzeni na szczeblu unijnym, regionalnym i na szczeblu państw członkowskich obejmują:a)
wykaz cyberzagrożeń, które należy uwzględnić, obejmujący co najmniej następujące zagrożenia dla łańcucha dostaw:(i)
poważna i nieoczekiwana korupcja łańcucha dostaw;(ii)
brak dostępności produktów ICT, usług ICT lub procesów ICT z łańcucha dostaw;(iii)
cyberataki inicjowane przez podmioty w łańcuchu dostaw;(iv)
wycieki informacji szczególnie chronionych w łańcuchu dostaw, w tym śledzenie łańcucha dostaw;(v)
wprowadzanie luk lub backdoorów do produktów ICT, usług ICT lub procesów ICT za pośrednictwem podmiotów łańcucha dostaw;b)
kryteria oceny wpływu ryzyka w cyberbezpieczeństwie jako wysokiego lub krytycznego z zastosowaniem określonych progów w zakresie konsekwencji i prawdopodobieństwa;c)
podejście do analizy ryzyka w cyberbezpieczeństwie wynikającego z dotychczasowych systemów, kaskadowych skutków cyberataków oraz charakteru systemów obsługujących sieć w czasie rzeczywistym;d)
podejście do analizy ryzyka w cyberbezpieczeństwie wynikającego z zależności od jednego dostawcy produktów ICT, usług ICT lub procesów ICT.3.
W ramach metody oceny ryzyka w cyberprzestrzeni na szczeblu unijnym, regionalnym i na szczeblu państw członkowskich dokonuje się oceny ryzyka w cyberprzestrzeni przy użyciu tej samej macierzy wpływu ryzyka. Macierz wpływu ryzyka:a)
służy do pomiaru skutków cyberataków w oparciu o następujące kryteria:(i)
czas braku dostaw energii elektrycznej;(ii)
ograniczenie wytwarzania energii elektrycznej;(iii)
utrata mocy w ramach rezerwy pierwotnej utrzymania częstotliwości;(iv)
utrata mocy do przywrócenia działania sieci elektroenergetycznej bez polegania na zewnętrznej sieci przesyłowej po całkowitym lub częściowym wyłączeniu (zwanego również "rozruchem autonomicznym");(v)
przewidywany czas wyłączenia dostaw energii elektrycznej wpływającego na odbiorców w połączeniu ze skalą wyłączenia pod względem liczby odbiorców oraz(vi)
wszelkie inne kryteria ilościowe lub jakościowe, które w racjonalny sposób mogłyby służyć jako wskaźnik wpływu cyberataku na transgraniczne przepływy energii elektrycznej;b)
służy do pomiaru prawdopodobieństwa wystąpienia incydentu jako częstotliwość cyberataków rocznie.4.
Metodyki oceny ryzyka w cyberprzestrzeni na poziomie Unii opisują, w jaki sposób zostaną określone wartości ECII dla progu dużego wpływu i progu krytycznego wpływu. ECII umożliwia podmiotom oszacowanie za pomocą kryteriów, o których mowa w ust. 2 lit. b), wpływu ryzyka na ich proces biznesowy podczas ocen wpływu na działalność, które przeprowadzają zgodnie z art. 26 ust. 4 lit. c) pkt (i).5.
ENTSO energii elektrycznej, we współpracy z organizacją OSD UE, informuje Grupę Koordynacyjną ds. Energii Elektrycznej o propozycjach dotyczących metod oceny ryzyka w cyberprzestrzeni opracowanych zgodnie z ust. 1.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.