Art. 20. - Ocena ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej

Dzienniki UE

Dz.U.UE.L.2024.1366

Akt obowiązujący
Wersja od: 24 maja 2024 r.
Artykuł  20

Ocena ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego

1. 
Każdy właściwy organ przeprowadza ocenę ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego w odniesieniu do wszystkich podmiotów o dużym wpływie i podmiotów o krytycznym wpływie w swoim państwie członkowskim, stosując metodyki opracowane zgodnie z art. 18 i zatwierdzone zgodnie z art. 8. Ocena ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego obejmuje identyfikację i analizę ryzyka cyberataków mających wpływ na bezpieczeństwo pracy systemu elektroenergetycznego i zakłócających transgraniczne przepływy energii elektrycznej. W ocenie ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego nie uwzględnia się kwestii szkody prawnej, szkody finansowej ani nadszarpnięcia reputacji spowodowanych cyberatakami.
2. 
W terminie 21 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6 i co trzy lata od tej daty oraz po konsultacji z właściwym organem odpowiedzialnym za cyberbez- pieczeństwo w obszarze energii elektrycznej każdy właściwy organ, wspierany przez CSIRT, przekazuje ENTSO energii elektrycznej i organizacji OSD UE sprawozdanie z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego, zawierające następujące informacje dotyczące każdego procesu biznesowego o dużym wpływie i procesu biznesowego o krytycznym wpływie:
a)
stan wdrożenia minimalnych i zaawansowanych kontroli cyberbezpieczeństwa na podstawie art. 29;
b)
wykaz wszystkich cyberataków zgłoszonych w ciągu ostatnich trzech lat na podstawie art. 38 ust. 3;
c)
streszczenie informacji na temat cyberzagrożeń zgłoszonych w ciągu poprzednich trzech lat zgodnie z art. 38 ust. 6;
d)
w odniesieniu do każdego ogólnounijnego procesu o dużym wpływie lub procesu o krytycznym wpływie - oszaco

wanie ryzyka naruszenia poufności, integralności i dostępności informacji i istotnych aktywów;

e)
w stosownych przypadkach wykaz dodatkowych podmiotów określonych jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgodnie z art. 24 ust. 1, 2, 3 i 5.
3. 
W sprawozdaniu z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego uwzględnia się plan gotowości na wypadek zagrożeń państwa członkowskiego sporządzony na podstawie art. 10 rozporządzenia (UE) 2019/941.
4. 
Informacje zawarte w sprawozdaniu z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego na podstawie ust. 2 lit. a)-d) nie mogą być powiązane z konkretnymi podmiotami lub aktywami. Sprawozdanie z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego musi również zawierać ocenę ryzyka dotyczącą czasowych odstępstw przyznanych przez właściwe organy państw członkowskich na podstawie art. 30.
5. 
ENTSO energii elektrycznej i organizacja OSD UE mogą zwrócić się do właściwych organów o dodatkowe informacje w odniesieniu do zadań określonych w ust. 2 lit. a) i c).
6. 
Właściwe organy zapewniają, aby przekazywane przez nie informacje były dokładne i prawidłowe.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .