Art. 43. - Ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu i na poziomie państwa członkowskiego - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej

Dzienniki UE

Dz.U.UE.L.2024.1366

Akt obowiązujący
Wersja od: 24 maja 2024 r.
Artykuł  43

Ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu i na poziomie państwa członkowskiego

1. 
Do dnia 31 grudnia roku następującego po powiadomieniu podmiotów o krytycznym wpływie, a następnie co trzy lata, każdy podmiot o krytycznym wpływie przeprowadza ćwiczenie w dziedzinie cyberbezpieczeństwa obejmujące co najmniej jeden scenariusz cyberataków mających bezpośredni lub pośredni wpływ na transgraniczne przepływy energii elektrycznej i związanych z ryzykiem zidentyfikowanym w ramach ocen ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego i podmiotu zgodnie z art. 20 i art. 27.
2. 
Na zasadzie odstępstwa od ust. 1 właściwy organ ds. gotowości na wypadek zagrożeń po konsultacji z właściwym organem i odpowiednim organem ds. zarządzania kryzysowego w cyberbezpieczeństwie wyznaczonymi lub ustanowionymi na podstawie art. 9 dyrektywy (UE) 2022/2555 może podjąć decyzję o zorganizowaniu ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie państwa członkowskiego, jak opisano w ust. 1, zamiast przeprowadzania ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu. W tym względzie właściwy organ informuje:
a)
wszystkie podmioty o krytycznym wpływie z danego państwa członkowskiego, krajowy organ regulacyjny, CSIRT oraz właściwy organ odpowiedzialny za cyberbezpieczeństwo najpóźniej do dnia 30 czerwca roku poprzedzającego przeprowadzenie ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu;
b)
każdy podmiot, który uczestniczy w ćwiczeniu w dziedzinie cyberbezpieczeństwa na szczeblu państwa członkowskiego, najpóźniej 6 miesięcy przed rozpoczęciem ćwiczenia.
3. 
Właściwy organ ds. gotowości na wypadek zagrożeń przy wsparciu technicznym jego CSIRT organizuje ćwiczenie w dziedzinie cyberbezpieczeństwa określone w ust. 2 na poziomie państwa członkowskiego niezależnie lub w kontekście innego ćwiczenia w dziedzinie cyberbezpieczeństwa w danym państwie członkowskim. Aby móc grupować te ćwiczenia, właściwy organ ds. gotowości na wypadek zagrożeń może odroczyć o jeden rok przeprowadzenie ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie państwa członkowskiego, o którym mowa w ust. 1.
4. 
Ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu i na poziomie państw członkowskich muszą być spójne z krajowymi ramami zarządzania kryzysowego w cyberbezpieczeństwie zgodnie z art. 9 ust. 4 lit. d) dyrektywy (UE) 2022/2555.
5. 
Do dnia 31 grudnia 2026 r., a następnie co trzy lata ENTSO energii elektrycznej we współpracy z organizacją OSD UE udostępnia wzór scenariusza ćwiczeń na potrzeby przeprowadzania ćwiczeń w dziedzinie cyberbezpieczeństwa na poziomie podmiotu i państwa członkowskiego, o których mowa w ust. 1. We wzorze tym bierze się pod uwagę wyniki ostatnio przeprowadzonej oceny ryzyka w cyberprzestrzeni na poziomie podmiotu i państwa członkowskiego oraz uwzględnia się kluczowe kryteria powodzenia. ENTSO energii elektrycznej i organizacja OSD UE angażują ACER i ENISA w opracowywanie takiego wzoru.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .