Art. 24. - Identyfikacja podmiotów o dużym wpływie i podmiotów o krytycznym wpływie - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej

Dzienniki UE

Dz.U.UE.L.2024.1366

Akt obowiązujący
Wersja od: 24 maja 2024 r.
Artykuł  24

Identyfikacja podmiotów o dużym wpływie i podmiotów o krytycznym wpływie

1. 
Każdy właściwy organ identyfikuje, za pomocą ECII oraz progów dużego wpływu i progów krytycznego wpływu zawartych w ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 3 lit. b), podmioty o dużym wpływie i podmioty o krytycznym wpływie w jego państwie członkowskim, które są zaangażowane w ogólnou- nijne procesy o dużym wpływie i procesy o krytycznym wpływie. Właściwe organy mogą zażądać informacji od podmiotu w ich państwie członkowskim w celu określenia wartości ECII w odniesieniu do tego podmiotu. Jeżeli ustalony ECII podmiotu przekracza próg dużego wpływu lub próg krytycznego wpływu, zidentyfikowany w ten sposób podmiot zostaje wymieniony w sprawozdaniu z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego, o którym mowa w art. 20 ust. 2.
2. 
Każdy właściwy organ identyfikuje, za pomocą ECII oraz progów dużego wpływu i progów krytycznego wpływu zawartych w ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 3 lit. b), podmioty o dużym wpływie i podmioty o krytycznym wpływie, które nie mają siedziby w Unii, w zakresie, w jakim są aktywne w UE. Właściwy organ może zażądać informacji od podmiotu, który nie ma siedziby w Unii, w celu określenia wartości ECII w odniesieniu do tego podmiotu.
3. 
Każdy właściwy organ może wskazać dodatkowe podmioty w swoim państwie członkowskim jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie, jeżeli spełnione są następujące kryteria:
a)
podmiot jest częścią grupy podmiotów, w przypadku której istnieje znaczne ryzyko, że cyberatak wpłynie na nie jednocześnie;
b)
zagregowany ECII grupy podmiotów przekracza próg dużego wpływu lub próg krytycznego wpływu.
4. 
Jeżeli właściwy organ zidentyfikuje dodatkowe podmioty zgodnie z ust. 3, wszystkie procesy w tych podmiotach, w przypadku których zagregowany ECII grupy przekracza próg dużego wpływu, uznaje się za procesy o dużym wpływie, a wszystkie procesy w tych podmiotach, w przypadku których zagregowany ECII grupy przekracza progi krytycznego wpływu, uznaje się za procesy o krytycznym wpływie.
5. 
Jeżeli właściwy organ zidentyfikuje podmioty, o których mowa w ust. 3 lit. a), w więcej niż jednym państwie członkowskim, informuje o tym pozostałe właściwe organy, ENTSO energii elektrycznej i organizację OSD UE. ENTSO energii elektrycznej we współpracy z organizacją OSD UE, w oparciu o informacje otrzymane od wszystkich właściwych organów, przekazuje właściwym organom analizę agregacji podmiotów działających w więcej niż jednym państwie członkowskim, które mogą być źródłem rozproszonego zakłócenia w transgranicznych przepływach energii elektrycznej i w związku z tym taka sytuacja może skutkować cyberatakiem. Jeżeli grupa podmiotów w szeregu państw członkowskich zostanie zidentyfikowana jako agregacja, w przypadku której ECII przekracza próg dużego wpływu lub próg krytycznego wpływu wszystkie zainteresowane właściwe organy identyfikują te podmioty w takiej grupie, na podstawie zagregowanego ECII grupy podmiotów, jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie dla danego państwa członkowskiego i zamieszcza się te zidentyfikowane podmioty w ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni.
6. 
Każdy właściwy organ w terminie dziewięciu miesięcy od otrzymania od ENTSO energii elektrycznej i organizacji OSD UE powiadomienia o ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 5, a w każdym razie nie później niż do dnia 13 czerwca 2028 r., powiadamia podmioty znajdujące się w wykazie o tym, że zostały zidentyfikowane jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie w jego państwie członkowskim.
7. 
Jeżeli dostawca usług zostanie zgłoszony właściwemu organowi jako kluczowy dostawca usług ICT zgodnie z art. 27 lit. c), właściwy organ powiadamia o tym właściwe organy państw członkowskich, na których terytorium znajduje się siedziba lub przedstawiciel tego dostawcy. Ten ostatni właściwy organ powiadamia dostawcę usług o tym, że został on zidentyfikowany jako kluczowy dostawca usług.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .