Rozdział 1 - PRZEPISY OGÓLNE - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej
Dzienniki UE
Dz.U.UE.L.2024.1366
Akt obowiązujący Wersja od: 24 maja 2024 r.
ROZDZIAŁ I
PRZEPISY OGÓLNE
PRZEPISY OGÓLNE
Przedmiot
W niniejszym rozporządzeniu ustanawia się kodeks sieci określający zasady sektorowe dotyczące aspektów cyberbezpie- czeństwa w transgranicznych przepływach energii elektrycznej, w tym zasady dotyczące wspólnych wymogów minimalnych, planowania, monitorowania, sprawozdawczości i zarządzania kryzysowego.
Zakres
1.
Niniejsze rozporządzenie ma zastosowanie do aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej w ramach działalności następujących podmiotów, jeżeli zostały one zidentyfikowane jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgodnie z art. 24:a)
przedsiębiorstw energetycznych zdefiniowanych w art. 2 pkt 57 dyrektywy (UE) 2019/944;b)
wyznaczonych operatorów rynku energii elektrycznej ("NEMO") zdefiniowanych w art. 2 pkt 8 rozporządzenia (UE) 2019/943;c)
zorganizowanych platform obrotu lub "rynków zorganizowanych" zdefiniowanych w art. 2 pkt 4 rozporządzenia wykonawczego Komisji (UE) nr 1348/2014 14 , które organizują transakcje dotyczące produktów istotnych dla transgranicznych przepływów energii elektrycznej;d)
kluczowych dostawców usług ICT, o których mowa w art. 3 pkt 9 niniejszego rozporządzenia;e)
ENTSO energii elektrycznej ustanowionej na podstawie art. 28 rozporządzenia (UE) 2019/943;f)
organizacji OSD UE ustanowionej na podstawie art. 52 rozporządzenia (UE) 2019/943;g)
podmiotów odpowiedzialnych za bilansowanie zdefiniowanych w art. 2 pkt 14 rozporządzenia (UE) 2019/943;h)
operatorów punktów ładowania zdefiniowanych w załączniku I do dyrektywy (UE) 2022/2555;i)
regionalnych centrów koordynacyjnych ustanowionych na podstawie art. 35 rozporządzenia (UE) 2019/943;j)
dostawców usług zarządzanych w zakresie bezpieczeństwa zdefiniowanych w art. 6 pkt 40 dyrektywy (UE) 2022/2555;k)
wszelkich innych podmiotów lub osób trzecich, którym przekazano lub powierzono obowiązki na podstawie niniejszego rozporządzenia.2.
Za wykonywanie zadań powierzonych w niniejszym rozporządzeniu odpowiedzialne są następujące organy w ramach ich obecnych mandatów:a)
Agencja Unii Europejskiej ds. Współpracy Organów Regulacji Energetyki ("ACER") ustanowiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/942 15 ;b)
właściwe organy krajowe odpowiedzialne za wykonywanie zadań powierzonych im na podstawie niniejszego rozporządzenia i wyznaczone przez państwa członkowskie na podstawie art. 4 lub "właściwe organy";c)
krajowe organy regulacyjne wyznaczone przez każde państwo członkowskie zgodnie z art. 57 ust. 1 dyrektywy (UE) 2019/944;d)
właściwe organy ds. gotowości na wypadek zagrożeń ustanowione na podstawie art. 3 rozporządzenia (UE) 2019/941;e)
zespoły reagowania na incydenty bezpieczeństwa komputerowego ("CSIRT") wyznaczone lub ustanowione na podstawie art. 10 dyrektywy (UE) 2022/2555;f)
właściwe organy odpowiedzialne za cyberbezpieczeństwo wyznaczone lub ustanowione na podstawie art. 8 dyrektywy (UE) 2022/2555;g)
Agencja Unii Europejskiej ds. Cyberbezpieczeństwa ustanowiona na podstawie rozporządzenia (UE) 2019/881;h)
wszelkie inne organy lub osoby trzecie, którym przekazano lub powierzono obowiązki na podstawie art. 4 ust. 3.3.
Niniejsze rozporządzenie ma również zastosowanie do wszystkich podmiotów, które nie mają siedziby w Unii, ale świadczą usługi na rzecz podmiotów w Unii, pod warunkiem że zostały one zidentyfikowane przez właściwe organy jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgodnie z art. 24 ust. 2.4.
Niniejsze rozporządzenie pozostaje bez uszczerbku dla spoczywającego na państwach członkowskich obowiązku ochrony bezpieczeństwa narodowego oraz dla ich uprawnień do zabezpieczania innych podstawowych funkcji państwa, w tym zapewniania integralności terytorialnej państwa i utrzymywania porządku publicznego.5.
Niniejsze rozporządzenie pozostaje bez uszczerbku dla odpowiedzialności państw członkowskich za zagwarantowanie bezpieczeństwa narodowego w odniesieniu do działań związanych z wytwarzaniem energii elektrycznej z elektrowni jądrowych, w tym działań w ramach łańcucha wartości sektora jądrowego, zgodnie z Traktatami.6.
Podmioty, właściwe organy, pojedyncze punkty kontaktowe na poziomie podmiotu i CSIRT przetwarzają dane osobowe w zakresie niezbędnym do celów niniejszego rozporządzenia i zgodnie z rozporządzeniem (UE) 2016/679, w szczególności takie przetwarzanie odbywa się na podstawie jego art. 6.Definicje
Stosuje się następujące definicje:
1)
"aktywa" oznaczają wszelkie informacje, oprogramowanie lub sprzęt w sieci i systemach informatycznych, materialne lub niematerialne, które mają wartość dla osoby fizycznej, organizacji lub rządu;2)
"właściwy organ ds. gotowości na wypadek zagrożeń" oznacza właściwy organ wyznaczony zgodnie z art. 3 rozporządzenia (UE) 2019/941;3)
"zespół reagowania na incydenty bezpieczeństwa komputerowego" oznacza zespół odpowiedzialny za postępowanie w przypadku wystąpienia ryzyka i incydentów zgodnie z art. 10 dyrektywy (UE) 2022/2555;4)
"aktywa o krytycznym wpływie" oznaczają aktywa, które są niezbędne do przeprowadzenia procesu o krytycznym wpływie;5)
"podmiot o krytycznym wpływie" oznacza podmiot, który przeprowadza proces o krytycznym wpływie i który został zidentyfikowany przez właściwe organy zgodnie z art. 24;6)
"obszar o krytycznym wpływie" oznacza obszar określony przez podmiot, o którym mowa w art. 2 ust. 1, obejmujący wszystkie aktywa o krytycznym wpływie i na którym można kontrolować dostęp do tych aktywów i który określa zakres stosowania zaawansowanych kontroli cyberbezpieczeństwa;7)
"proces o krytycznym wpływie" oznacza proces biznesowy przeprowadzany przez podmiot, w przypadku którego wskaźniki wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej przekraczają próg krytycznego wpływu;8)
"próg krytycznego wpływu" oznacza wartości wskaźników wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej, o których mowa w art. 19 ust. 3 lit. b), powyżej których cyberatak na proces biznesowy spowoduje krytyczne zakłócenie transgranicznych przepływów energii elektrycznej;9)
"kluczowy dostawca usług ICT" oznacza podmiot świadczący usługę ICT lub realizujący proces ICT, które są niezbędne do przeprowadzenia procesu o krytycznym wpływie lub procesu o dużym wpływie dla aspektów cyberbez- pieczeństwa w transgranicznych przepływach energii elektrycznej i które, jeśli zostaną zagrożone, mogą spowodować cyberatak o znaczeniu przekraczającym próg krytycznego wpływu lub próg dużego wpływu;10)
"transgraniczny przepływ energii elektrycznej" oznacza przepływ transgraniczny zdefiniowany w art. 2 pkt 3 rozporządzenia (UE) 2019/943;11)
"cyberatak" oznacza incydent zdefiniowany w art. 3 pkt 14 rozporządzenia (UE) 2022/2554;12)
"cyberbezpieczeństwo" oznacza cyberbezpieczeństwo zdefiniowane w art. 2 pkt 1 rozporządzenia (UE) 2019/881;13)
"kontrola cyberbezpieczeństwa" oznacza działania lub procedury przeprowadzane w celu uniknięcia i wykrywania ryzyka w cyberbezpieczeństwie, przeciwdziałania mu lub minimalizowania go;14)
"incydent w cyberbezpieczeństwie" oznacza incydent zdefiniowany w art. 6 pkt 6 dyrektywy (UE) 2022/2555;15)
"system zarządzania cyberbezpieczeństwem" oznacza politykę, procedury, wytyczne oraz powiązane zasoby i działania, zarządzane łącznie przez podmiot, służące ochronie jego zasobów informacyjnych przed cyberzagrożeniami poprzez systematyczne ustanawianie, wdrażanie, obsługę, monitorowanie, przeglądy, utrzymywanie i poprawę bezpieczeństwa sieci i systemów informatycznych organizacji;16)
"centrum operacyjne cyberbezpieczeństwa" oznacza specjalne centrum, w którym zespół techniczny składający się z co najmniej jednego eksperta, korzystający z systemów informatycznych w zakresie cyberbezpieczeństwa, wykonuje zadania związane z bezpieczeństwem (usługi centrum operacyjnego cyberbezpieczeństwa), takie jak postępowanie w przypadku cyberataków i błędów konfiguracji bezpieczeństwa, monitorowanie bezpieczeństwa, analiza dzienników i wykrywanie cyberataków;17)
"cyberzagrożenie" oznacza cyberzagrożenie zdefiniowane w art. 2 pkt 8 rozporządzenia (UE) 2019/881;18)
"zarządzanie podatnościami wpływającymi na cyberbezpieczeństwo" oznacza praktykę identyfikowania i eliminowania podatności;19)
"podmiot" oznacza podmiot zdefiniowany w art. 6 pkt 38 dyrektywy (UE) 2022/2555;20)
"wczesne ostrzeżenie" oznacza informacje niezbędne do wskazania, czy istnieje podejrzenie, że poważny incydent jest spowodowany czynami niezgodnymi z prawem lub popełnionymi w złym zamiarze, oraz czy może on mieć skutki transgraniczne;21)
"wskaźnik wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej" ("ECII") oznacza wskaźnik lub skalę klasyfikacji, która klasyfikuje potencjalne konsekwencje cyberataków dla procesów biznesowych związanych z transgranicznymi przepływami energii elektrycznej;22)
"europejski program certyfikacji cyberbezpieczeństwa" oznacza program zdefiniowany w art. 2 pkt 9 rozporządzenia (UE) 2019/881;23)
"podmiot o dużym wpływie" oznacza podmiot, który przeprowadza proces o dużym wpływie i który został zidentyfikowany przez właściwe organy zgodnie z art. 24;24)
"proces o dużym wpływie" oznacza proces biznesowy przeprowadzany przez podmiot, w przypadku którego wskaźniki wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej przekraczają próg dużego wpływu;25)
"aktywa o dużym wpływie" oznaczają aktywa, które są niezbędne do przeprowadzenia procesu o dużym wpływie;26)
"próg dużego wpływu" oznacza wartości wskaźników wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej, o których mowa w art. 19 ust. 3 lit. b), powyżej których skuteczny cyberatak na proces spowoduje duże zakłócenie transgranicznych przepływów energii elektrycznej;27)
"obszar o dużym wpływie" oznacza obszar określony przez dowolny podmiot wymieniony w art. 2 ust. 1, obejmujący wszystkie aktywa o dużym wpływie, na którym można kontrolować dostęp do tych aktywów i który określa zakres stosowania minimalnych kontroli cyberbezpieczeństwa;28)
"produkt ICT" oznacza produkt ICT zdefiniowany w art. 2 pkt 12 rozporządzenia (UE) 2019/881;29)
"usługa ICT" oznacza usługę ICT zdefiniowaną w art. 2 pkt 13 rozporządzenia (UE) 2019/881;30)
"proces ICT" oznacza proces ICT zdefiniowany w art. 2 pkt 14 rozporządzenia (UE) 2019/881;31)
"dotychczasowy system" oznacza dotychczasowy system ICT zdefiniowany w art. 3 pkt 3 rozporządzenia (UE) 2022/2554;32)
"krajowy pojedynczy punkt kontaktowy" oznacza pojedynczy punkt kontaktowy wyznaczony lub ustanowiony przez każde państwo członkowskie na podstawie art. 8 ust. 3 dyrektywy (UE) 2022/2555;33)
"organy ds. zarządzania kryzysowego w cyberbezpieczeństwie w ramach NIS" oznaczają organy wyznaczone lub ustanowione na podstawie art. 9 ust. 1 dyrektywy (UE) 2022/2555;34)
"inicjator" oznacza podmiot inicjujący wymianę informacji, udostępnienie informacji lub przechowywanie informacji;35)
"specyfikacje zamówień publicznych" oznaczają specyfikacje określone przez podmioty na potrzeby zamówień na nowe lub zaktualizowane produkty ICT, procesy ICT lub usługi ICT;36)
"przedstawiciel" oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub miejsce prowadzenia działalności w Unii, wyraźnie wyznaczoną do występowania w imieniu podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie niemającego miejsca prowadzenia działalności w Unii, ale świadczącego usługi na rzecz podmiotów w Unii, do której właściwy organ krajowy lub CSIRT może się zwrócić zamiast do samego podmiotu o dużym lub krytycznym wpływie w związku z obowiązkami tego podmiotu przewidzianymi w niniejszym rozporządzeniu;37)
"ryzyko" oznacza ryzyko zgodnie z definicją w art. 6 pkt 9 dyrektywy (UE) 2022/2555;38)
"macierz wpływu ryzyka" oznacza matrycę wykorzystywaną podczas oceny ryzyka do określenia wynikającego z niej poziomu wpływu ryzyka dla każdego ocenianego rodzaju ryzyka;39)
"jednoczesny kryzys elektroenergetyczny" oznacza kryzys elektroenergetyczny zdefiniowany w art. 2 pkt 10 rozporządzenia (UE) 2019/941;40)
"pojedynczy punkt kontaktowy na poziomie podmiotu" oznacza pojedynczy punkt kontaktowy na poziomie podmiotu wyznaczony zgodnie z art. 38 ust. 1 lit. c);41)
"zainteresowana strona" oznacza każdą stronę, która jest zainteresowana powodzeniem i bieżącym funkcjonowaniem organizacji lub procesu, taką jak pracownicy, dyrektorzy, udziałowcy, organy regulacyjne, stowarzyszenia, dostawcy i klienci;42)
"norma" oznacza normę zdefiniowaną w art. 2 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012 16 ;43)
"region pracy systemu" oznacza regiony pracy systemu określone w załączniku I do decyzji ACER 05-2022 w sprawie określenia regionów pracy systemu, ustanowione zgodnie z art. 36 rozporządzenia (UE) 2019/943;44)
"operator systemu" oznacza "operatora systemu dystrybucyjnego" (OSD) i "operatora systemu przesyłowego" (OSP) zdefiniowanego w art. 2 pkt 29 i art. 2 pkt 35 dyrektywy (UE) 2019/944;45)
"ogólnounijny proces o krytycznym wpływie" oznacza dowolny proces w sektorze energii elektrycznej, potencjalnie obejmujący więcej niż jeden podmiot, w przypadku którego ewentualny wpływ cyberataku można uznać za krytyczny podczas przeprowadzania ogólnounijnej oceny ryzyka w cyberprzestrzeni;46)
"ogólnounijny proces o dużym wpływie" oznacza dowolny proces w sektorze energii elektrycznej, potencjalnie obejmujący więcej niż jeden podmiot, w przypadku którego ewentualne wpływ cyberataku można uznać za duży podczas przeprowadzania ogólnounijnej oceny ryzyka w cyberprzestrzeni;47)
"nienaprawiona aktywnie wykorzystywana podatność" oznacza podatność, która nie została jeszcze ujawniona publicznie i naprawiona i w odniesieniu do której istnieją wiarygodne dowody na to, że podmiot wykonał złośliwy kod w systemie bez zgody właściciela systemu;48)
"podatność" oznacza podatność zdefiniowaną w art. 6 pkt 15 dyrektywy (UE) 2022/2555.Właściwy organ
1.
Najwcześniej jak to możliwe i nie później niż do dnia 13 grudnia 2024 r. każde państwo członkowskie wyznacza krajowy organ rządowy lub regulacyjny odpowiedzialny za wykonywanie zadań powierzonych mu na mocy niniejszego rozporządzenia ("właściwy organ"). Do czasu powierzenia właściwemu organowi zadań wynikających z niniejszego rozporządzenia zadania właściwego organu zgodnie z niniejszym rozporządzeniem wykonuje organ regulacyjny wyznaczony przez każde państwo członkowskie na podstawie art. 57 ust. 1 dyrektywy (UE) 2019/944.2.
Państwa członkowskie niezwłocznie powiadamiają Komisję, ACER, ENISA, grupę współpracy NIS ustanowioną na podstawie art. 14 dyrektywy (UE) 2022/2555 oraz Grupę Koordynacyjną ds. Energii Elektrycznej ustanowioną na mocy art. 1 decyzji Komisji z dnia 15 listopada 2012 r. 17 oraz przekazują im nazwę i dane kontaktowe swojego właściwego organu wyznaczonego zgodnie z ust. 1 niniejszego artykułu oraz informują o wszelkich późniejszych zmianach w tym względzie.3.
Państwa członkowskie mogą zezwolić swojemu właściwemu organowi na przekazywanie zadań powierzonych mu w niniejszym rozporządzeniu innym organom krajowym, z wyjątkiem zadań wymienionych w art. 5. Każdy właściwy organ monitoruje stosowanie niniejszego rozporządzenia przez organy, którym przekazał zadania. Właściwy organ przekazuje Komisji, ACER, Grupie Koordynacyjnej ds. Energii Elektrycznej, ENISA oraz grupie współpracy NIS nazwę, dane kontaktowe, informacje o przydzielonych zadaniach oraz wszelkie późniejsze zmiany w tym względzie.Współpraca między właściwymi organami i podmiotami na szczeblu krajowym
Właściwe organy koordynują i zapewniają odpowiednią współpracę między właściwymi organami odpowiedzialnymi za cyberbezpieczeństwo, organami ds. zarządzania kryzysowego w cyberbezpieczeństwie, krajowymi organami regulacyjnymi, właściwymi organami ds. gotowości na wypadek zagrożeń i CSIRT w celu wypełnienia stosownych obowiązków określonych w niniejszym rozporządzeniu. Właściwe organy koordynują również współpracę z wszystkimi innymi podmiotami lub organami określonymi przez każde państwo członkowskie, aby zapewnić skuteczne procedury i uniknąć powielania zadań i obowiązków. Właściwe organy muszą mieć możliwość polecenia odpowiednim krajowym organom regulacyjnym zwrócenia się do ACER o opinię zgodnie z art. 8 ust. 3.
Warunki lub metody, lub plany
1.
OSP opracowują, we współpracy z organizacją OSD UE, propozycje dotyczące warunków lub metod zgodnie z ust. 2 lub planów zgodnie z ust. 3.2.
Poniższe warunki lub metody oraz wszelkie ich zmiany podlegają zatwierdzeniu przez wszystkie właściwe organy:a)
metody oceny ryzyka w cyberprzestrzeni zgodnie z art. 18 ust. 1;b)
kompleksowe sprawozdanie z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej zgodnie z art. 23;c)
minimalne i zaawansowane kontrole cyberbezpieczeństwa na podstawie art. 29, mapowanie kontroli cyberbezpie- czeństwa w odniesieniu do energii elektrycznej względem norm na podstawie art. 34, w tym minimalne i zaawansowane kontrole cyberbezpieczeństwa w łańcuchu dostaw zgodnie z art. 33;d)
zalecenie dotyczące zamówień publicznych w dziedzinie cyberbezpieczeństwa zgodnie z art. 35;e)
metodyka określania skali klasyfikacji cyberataków zgodnie z art. 37 ust. 8.3.
Propozycje dotyczące regionalnych planów ograniczenia ryzyka w cyberprzestrzeni zgodnie z art. 22 podlegają zatwierdzeniu przez wszystkie właściwe organy regionu pracy systemu, którego to dotyczy.4.
Propozycje dotycząca ustanowienia warunków i metod wymienionych w ust. 2 lub planów, o których mowa w ust. 3, muszą obejmować proponowane ramy czasowe ich wdrożenia oraz opis ich przewidywanego wpływu na realizację celów określonych w niniejszym rozporządzeniu.5.
Organizacja OSD UE może przedstawić OSP, których to dotyczy, uzasadnioną opinię najpóźniej na trzy tygodnie przed upływem terminu przedłożenia właściwym organom propozycji dotyczącej ustanowienia warunków lub metod, lub planów. Przed przedłożeniem propozycji dotyczącej ustanowienia warunków lub metod, lub planów właściwym organom do zatwierdzenia OSP odpowiedzialni za propozycję uwzględniają uzasadnioną opinię organizacji OSD UE. Jeżeli opinia organizacji OSD UE nie zostanie uwzględniona, OSP muszą podać uzasadnienie.6.
Uczestniczący OSP ściśle ze sobą współpracują przy wspólnym opracowywaniu warunków, metod i planów. OSP, z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, regularnie informują właściwe organy i ACER o postępach w opracowywaniu warunków lub metod, lub planów.Zasady głosowania w ramach OSP
1.
Jeżeli OSP podejmujący decyzję w sprawie propozycji dotyczących ustanowienia warunków lub metod nie są w stanie osiągnąć porozumienia, podejmują oni decyzję kwalifikowaną większością głosów. Większość kwalifikowaną w przypadku takich propozycji oblicza się w następujący sposób:a)
OSP reprezentujących co najmniej 55 % państw członkowskich; orazb)
OSP reprezentujących państwa członkowskie, których liczba mieszkańców stanowi co najmniej 65 % ludności Unii.2.
Przy podejmowaniu decyzji w sprawie propozycji dotyczących ustanowienia warunków lub metod wymienionych w art. 6 ust. 2 mniejszość blokująca musi obejmować OSP reprezentujących co najmniej cztery państwa członkowskie; w przypadku niespełnienia powyższego warunku uznaje się, że większość kwalifikowana została osiągnięta.3.
Jeżeli OSP regionu pracy systemu podejmujący decyzję w sprawie propozycji dotyczących ustanowienia planów wymienionych w art. 6 ust. 2 nie są w stanie osiągnąć porozumienia oraz jeżeli dany region pracy systemu obejmuje więcej niż pięć państw członkowskich, podejmują oni decyzję kwalifikowaną większością głosów. W przypadku propozycji wymienionych w art. 6 ust. 2 większość kwalifikowana oznacza następującą większość:a)
OSP reprezentujących co najmniej 72 % zainteresowanych państw członkowskich; orazb)
OSP reprezentujących państwa członkowskie, na których terytorium zamieszkuje co najmniej 65 % ludności obszaru, którego to dotyczy.4.
Przy podejmowaniu decyzji w sprawie propozycji dotyczących ustanowienia planów mniejszość blokująca musi obejmować co najmniej minimalną liczbę OSP reprezentujących ponad 35 % ludności uczestniczących państw członkowskich, a także OSP reprezentujących co najmniej jedno dodatkowe zainteresowane państwo członkowskie; w przypadku niespełnienia powyższego warunku uznaje się, że większość kwalifikowana została osiągnięta.5.
W przypadku decyzji podejmowanych przez OSP w sprawie propozycji dotyczących ustanowienia warunków lub metod zgodnie z art. 6 ust. 2 każdemu państwu członkowskiemu przysługuje jeden głos. W przypadku występowania na terytorium danego państwa członkowskiego więcej niż jednego OSP państwo członkowskie rozdziela uprawnienia do głosowania wśród OSP.6.
Jeżeli OSP, we współpracy z organizacją OSD UE, nie przedstawią odpowiednim właściwym organom wstępnej lub zmienionej propozycji dotyczącej ustanowienia warunków lub metod lub planów w terminach określonych w niniejszym rozporządzeniu, przekazują odpowiednim właściwym organom i ACER stosowne projekty warunków lub metod, lub planów. Wyjaśniają one, co uniemożliwiło osiągnięcie porozumienia. Właściwe organy wspólnie podejmują odpowiednie kroki w celu przyjęcia wymaganych warunków lub metod, lub wymaganych planów. Można tego dokonać na przykład poprzez zwrócenie się o wprowadzenie zmian do projektów zgodnie z niniejszym ustępem, zmianę i uzupełnienie tych projektów lub, w przypadku gdy nie przedstawiono projektów, określenie i zatwierdzenie wymaganych warunków lub metod lub planów.Przedkładanie propozycji właściwym organom
1.
OSP przedkładają propozycje dotyczące ustanowienia warunków lub metod, lub planów odpowiednim właściwym organom do zatwierdzenia w stosownych terminach określonych w art. 18, 23, 29, 33, 34, 35 i 37. W wyjątkowych okolicznościach właściwe organy mogą wspólnie przedłużyć te terminy, w szczególności w przypadkach, w których termin nie może zostać dotrzymany z powodu okoliczności zewnętrznych w stosunku do sfery odpowiedzialności OSP lub organizacji OSD UE.2.
Propozycje dotyczące ustanowienia warunków, metod lub planów, o których mowa w ust. 1, są przedkładane ACER w celach informacyjnych w tym samym czasie, w którym są przedkładane właściwym organom.3.
Na wspólny wniosek krajowych organów regulacyjnych ACER wydaje opinię na temat propozycji dotyczącej ustanowienia warunków lub metod, lub planów w terminie sześciu miesięcy od otrzymania propozycji dotyczących ustanowienia warunków lub metod, lub planów oraz powiadamia o swojej opinii krajowe organy regulacyjne i właściwe organy. Krajowe organy regulacyjne, właściwe organy odpowiedzialne za cyberbezpieczeństwo i wszelkie inne organy wyznaczone jako właściwe organy koordynują swoje działania przed zwróceniem się do ACER o opinię. ACER może zawrzeć w takiej opinii zalecenia. ACER konsultuje się z ENISA przed wydaniem opinii w sprawie wniosków wymienionych w art. 6 ust. 2.4.
Właściwe organy prowadzą konsultację w swoim gronie, ściśle ze sobą współpracują i koordynują swe stanowiska w celu osiągnięcia porozumienia w sprawie proponowanych warunków, metod lub planów. Przed zatwierdzeniem warunków lub metod, lub też planów dokonują przeglądu i w razie potrzeby uzupełnienia propozycji, po konsultacji z ENTSO energii elektrycznej i organizacją OSD UE, w celu zapewnienia zgodności propozycji z niniejszym rozporządzeniem i przyczynienia się do wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii.5.
Właściwe organy podejmują decyzje w zakresie warunków lub metod, lub planów w terminie sześciu miesięcy od dnia otrzymania warunków lub metod, lub planów przez odpowiedni właściwy organ lub, w stosownych przypadkach, przez ostatni odpowiedni właściwy organ, którego to dotyczy.6.
W przypadku gdy ACER wyda opinię, odpowiednie właściwe organy uwzględniają taką opinię i podejmują swoje decyzje w terminie sześciu miesięcy od otrzymania opinii ACER.7.
W przypadku gdy właściwe organy wspólnie żądają zmiany proponowanych warunków lub metod, lub planów w celu ich zatwierdzenia, OSP opracowują, we współpracy z organizacją OSD UE, propozycję takiej zmiany warunków lub metod, lub planów. OSP przedkładają zmienioną propozycję do zatwierdzenia w terminie dwóch miesięcy od złożenia wniosku przez właściwe organy. Właściwe organy podejmują decyzję w sprawie zmienionych warunków lub metod, lub planów w terminie dwóch miesięcy od daty ich przedłożenia.8.
Jeżeli właściwe organy nie były w stanie osiągnąć porozumienia w terminie, o którym mowa w ust. 5 lub 7, informują o tym Komisję. Komisja może podjąć stosowne kroki w celu umożliwienia przyjęcia wymaganych warunków lub metod lub planów.9.
OSP, z pomocą ENTSO energii elektrycznej, oraz organizacja OSD UE publikują warunki lub metody, lub plany na swoich stronach internetowych po zatwierdzeniu przez odpowiednie właściwe organy, z wyjątkiem przypadków, w których takie informacje uznaje się za poufne zgodnie z art. 47.10.
Właściwe organy mogą wspólnie zwracać się do OSP i organizacji OSD UE o propozycje zmian zatwierdzonych warunków lub metod, lub zatwierdzonych planów oraz określić termin składania tych propozycji. OSP, we współpracy z organizacją OSD UE, mogą również przedstawiać właściwym organom propozycje zmian z własnej inicjatywy. Propozycje zmiany warunków lub metod lub zmian planów opracowuje się i zatwierdza zgodnie z procedurą określoną w niniejszym artykule.11.
Co najmniej raz na trzy lata po pierwszym przyjęciu odpowiednich warunków lub metod, lub odpowiednich przyjętych planów OSP we współpracy z organizacją OSD UE dokonują przeglądu skuteczności przyjętych warunków lub metod, lub przyjętych planów oraz bez zbędnej zwłoki przedstawiają wyniki przeglądu właściwym organom i ACER.Konsultacje
1.
OSP, z pomocą ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, konsultują się z zainteresowanymi stronami, w tym ACER, ENISA i właściwym organem każdego państwa członkowskiego, w sprawie projektów propozycji dotyczących ustanowienia warunków lub metod wymienionych w art. 6 ust. 2 oraz planów, o których mowa w art. 6 ust. 3. Konsultacje te trwają co najmniej jeden miesiąc.2.
Propozycje dotyczące ustanowienia warunków lub metod wymienionych w art. 6 ust. 2 przedłożone przez OSP we współpracy z organizacją OSD UE są publikowane i przedkładane do konsultacji na szczeblu unijnym. Propozycje planów wymienionych w art. 6 ust. 3 przedłożone przez odpowiednie OSP we współpracy z organizacją OSD UE na szczeblu regionalnym są przedkładane do konsultacji przynajmniej na szczeblu regionalnym.3.
Przed przedłożeniem propozycji dotyczącej ustanowienia warunków lub metod, lub planów organowi regulacyjnemu do zatwierdzenia OSP, z pomocą ENTSO energii elektrycznej, oraz organizacja OSD UE odpowiedzialne za propozycję należycie uwzględniają uwagi zainteresowanych stron zgłoszone w ramach konsultacji przeprowadzonych zgodnie z ust. 1. We wszystkich przypadkach sporządza się i publikuje w sposób terminowy należyte uzasadnienie przyczyn uwzględnienia lub nieuwzględnienia uwag będących wynikiem konsultacji w złożonym dokumencie, przed przedstawieniem propozycji dotyczącej ustanowienia warunków lub metod lub jednocześnie z przedstawieniem takiej propozycji.Zaangażowanie zainteresowanych stron
ACER, w ścisłej współpracy z ENTSO energii elektrycznej i organizacją OSD UE, organizuje zaangażowanie zainteresowanych stron, które obejmuje regularne spotkania z zainteresowanymi stronami w celu zidentyfikowania problemów i zaproponowania usprawnień w odniesieniu do wykonania niniejszego rozporządzenia.
Zwrot kosztów
1.
Koszty ponoszone przez OSP i OSD podlegające regulacji taryf sieciowych oraz wynikające z obowiązków określonych w niniejszym rozporządzeniu, w tym koszty ponoszone przez ENTSO energii elektrycznej i organizację OSD UE, podlegają ocenie właściwego krajowego organu regulacyjnego każdego państwa członkowskiego.2.
Koszty uznane za uzasadnione, efektywne i proporcjonalne są zwracane za pośrednictwem taryf sieciowych lub innych odpowiednich mechanizmów określonych przez odpowiedni krajowy organ regulacyjny.3.
Na wniosek odpowiednich organów regulacyjnych OSP i OSD, o których mowa w ust. 1, przedstawiają - w odpowiednim terminie określonym przez krajowy organ regulacyjny - informacje niezbędne do ułatwienia oceny poniesionych kosztów.Monitorowanie
1.
ACER monitoruje wdrażanie niniejszego rozporządzenia zgodnie z art. 32 ust. 1 rozporządzenia (UE) 2019/943 i art. 4 ust. 2 rozporządzenia (UE) 2019/942. W ramach tego monitorowania ACER może współpracować z ENISA i zwracać się o wsparcie do ENTSO energii elektrycznej i organizacji OSD UE. ACER regularnie informuje Grupę Koordynacyjną ds. Energii Elektrycznej i grupę współpracy NIS o wdrażaniu niniejszego rozporządzenia.2.
ACER publikuje sprawozdanie co najmniej raz na trzy lata po wejściu w życie niniejszego rozporządzenia w celu:a)
dokonania przeglądu stanu wdrożenia mających zastosowanie środków zarządzania ryzykiem w cyberprzestrzeni w odniesieniu do podmiotów o dużym wpływie i podmiotów o krytycznym wpływie;b)
ustalenia, czy konieczne mogą być dodatkowe zasady dotyczące wspólnych wymogów minimalnych, planowania, monitorowania, sprawozdawczości i zarządzania kryzysowego w celu uniknięcia ryzyka dla sektora energii elektrycznej; orazc)
określenia obszarów wymagających poprawy w ramach zmiany niniejszego rozporządzenia lub określenia nieuwz- ględnionych obszarów i nowych priorytetów, które mogą pojawić się w wyniku rozwoju technologicznego.3.
Do dnia 13 czerwca 2025 r. ACER, we współpracy z ENISA i po konsultacji z ENTSO energii elektrycznej i organizacją OSD UE, może wydać wytyczne dotyczące istotnych informacji, które należy przekazać ACER do celów monitorowania, a także procesu i częstotliwości gromadzenia danych, w oparciu o wskaźniki skuteczności działania określone zgodnie z ust. 5.4.
Właściwe organy mogą mieć dostęp do odpowiednich informacji będących w posiadaniu ACER, zgromadzonych przez Agencję zgodnie z niniejszym artykułem.5.
ACER we współpracy z ENISA i przy wsparciu ze strony ENTSO energii elektrycznej i organizacji OSD UE wydaje niewiążące wskaźniki skuteczności działania na potrzeby oceny niezawodności działania, które są związane z aspektami cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej.6.
Podmioty wymienione w art. 2 ust. 1 niniejszego rozporządzenia przekazują ACER informacje, których ACER potrzebuje do realizacji zadań wymienionych w ust. 2.Analiza porównawcza
1.
Do dnia 13 czerwca 2025 r. ACER, we współpracy z ENISA, ustanowi niewiążące wytyczne dotyczące analizy porównawczej w zakresie cyberbezpieczeństwa. Wytyczne służą wyjaśnieniu krajowym organom regulacyjnym zasad analizy porównawczej wdrożonych kontroli cyberbezpieczeństwa zgodnie z ust. 2 niniejszego artykułu, z uwzględnieniem kosztów wdrożenia tych kontroli oraz skuteczności funkcji, jaką pełnią procesy, produkty, usługi, systemy i rozwiązania zastosowane do wdrożenia takich kontroli. Przy ustanawianiu niewiążących wytycznych dotyczących analizy porównawczej w zakresie cyberbezpieczeństwa ACER uwzględnia istniejące sprawozdania z analizy porównawczej. ACER przedkłada niewiążące wytyczne dotyczące analizy porównawczej w zakresie cyberbezpieczeństwa krajowym organom regulacyjnym w celach informacyjnych.2.
W terminie 12 miesięcy od ustanowienia wytycznych dotyczących analizy porównawczej zgodnie z ust. 1 krajowe organy regulacyjne przeprowadzają analizę porównawczą, aby ocenić, czy obecne inwestycje w cyberbezpieczeństwo:a)
przyczyniają się do ograniczenia ryzyka wpływającego na transgraniczne przepływy energii elektrycznej;b)
przynoszą pożądane wyniki i powodują zwiększenie wydajności na potrzeby rozwoju systemów elektroenergetycznych;c)
są skuteczne i zintegrowane z ogólnymi zamówieniami na aktywa i usługi.3.
Do celów tej analizy porównawczej krajowe organy regulacyjne mogą uwzględnić niewiążące wytyczne dotyczące analizy porównawczej w zakresie cyberbezpieczeństwa ustanowione przez ACER oraz oceniają w szczególności:a)
średnie związane z cyberbezpieczeństwem wydatki na ograniczanie ryzyka wpływającego na transgraniczne przepływy energii elektrycznej, zwłaszcza w odniesieniu do podmiotów o dużym wpływie i podmiotów o krytycznym wpływie;b)
we współpracy z ENTSO energii elektrycznej i organizacją OSD UE - średnie ceny usług, systemów i produktów w zakresie cyberbezpieczeństwa, które w znacznym stopniu przyczyniają się do poprawy i utrzymania środków zarządzania ryzykiem w cyberbezpieczeństwie w poszczególnych regionach pracy systemu;c)
występowanie i poziom porównywalności kosztów i funkcji usług, systemów i rozwiązań w zakresie cyberbezpie- czeństwa odpowiednich do wdrożenia niniejszego rozporządzenia, z określeniem możliwych środków niezbędnych do zwiększenia efektywności wydatków, w szczególności tam, gdzie mogą być potrzebne inwestycje technologiczne w dziedzinie cyberbezpieczeństwa.4.
Wszelkie informacje związane z analizą porównawczą przygotowuje się i przetwarza zgodnie z wymogami dotyczącymi klasyfikacji danych określonymi w niniejszym rozporządzeniu, minimalnymi kontrolami cyberbezpieczeństwa oraz sprawozdaniem z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej. Analizy porównawczej, o której mowa w ust. 2 i 3, nie podaje się do wiadomości publicznej.5.
Bez uszczerbku dla wymogów poufności zawartych w art. 47 oraz dla potrzeby ochrony bezpieczeństwa podmiotów podlegających przepisom niniejszego rozporządzenia analizę porównawczą, o której mowa w ust. 2 i 3 niniejszego artykułu, udostępnia się wszystkim krajowym organom regulacyjnym, wszystkim właściwym organom, ACER, ENISA i Komisji.Umowy z OSP spoza Unii
1.
W terminie 18 miesięcy od wejścia w życie niniejszego rozporządzenia OSP z regionu pracy systemu sąsiadującego z państwem trzecim podejmują starania w celu zawarcia z OSP z sąsiedniego państwa trzeciego umów zgodnych z odpowiednimi przepisami prawa Unii i określających podstawę współpracy w zakresie ochrony cyberbezpieczeństwa i ustaleń dotyczących współpracy w dziedzinie cyberbezpieczeństwa z tymi OSP.2.
OSP informują właściwy organ o umowach zawartych zgodnie z ust. 1.Przedstawiciele prawni
1.
Podmioty, które nie mają siedziby w Unii, ale świadczą usługi na rzecz podmiotów w Unii i zostały zgłoszone jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgodnie z art. 24 ust. 6, w terminie trzech miesięcy od powiadomienia wyznaczają na piśmie przedstawiciela w Unii i odpowiednio informują właściwy organ powiadamiający.2.
Przedstawiciel ten zostaje upoważniony, by mógł się do niego zwracać dowolny właściwy organ lub CSIRT w Unii - oprócz lub zamiast do podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie - w sprawie obowiązków takiego podmiotu wynikających z niniejszego rozporządzenia. Podmiot o dużym wpływie lub podmiot o krytycznym wpływie przekazuje swojemu przedstawicielowi prawnemu niezbędne uprawnienia i wystarczające zasoby, aby zagwarantować jego skuteczną i terminową współpracę z odpowiednimi właściwymi organami lub CSIRT.3.
Przedstawiciel musi posiadać jednostkę organizacyjną w jednym z państw członkowskich, w których dany podmiot świadczy usługi. Uznaje się, że podmiot podlega jurysdykcji państwa członkowskiego, w którym przedstawiciel posiada jednostkę organizacyjną. Podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgłaszają właściwemu organowi w państwie członkowskim, w którym ich przedstawiciel prawny ma miejsce zamieszkania lub siedzibę, imię i nazwisko lub nazwę, adres pocztowy, adres e-mail oraz numer telefonu tego przedstawiciela prawnego.4.
Wyznaczony przedstawiciel prawny może zostać pociągnięty do odpowiedzialności z tytułu niewypełniania obowiązków wynikających z niniejszego rozporządzenia bez uszczerbku dla odpowiedzialności samego podmiotu o dużym wpływie lub podmiotu o krytycznym wpływie i kroków prawnych, które mogą zostać przeciwko niemu podjęte.5.
W przypadku braku przedstawiciela w Unii wyznaczonego na podstawie niniejszego artykułu każde państwo członkowskie, w którym dany podmiot świadczy usługi, może podjąć wobec tego podmiotu działania prawne w związku z niewykonaniem obowiązków wynikających z niniejszego rozporządzenia.6.
Wyznaczenie przedstawiciela prawnego na terytorium Unii zgodnie z ust. 1 nie jest równoznaczne z posiadaniem siedziby w Unii.Współpraca między ENTSO energii elektrycznej a organizacją OSD UE
1.
ENTSO energii elektrycznej i organizacja OSD UE współpracują w ramach przeprowadzania ocen ryzyka w cyberprzestrzeni zgodnie z art. 19 i art. 21, w szczególności jeżeli chodzi o następujące zadania:a)
opracowanie metodyk oceny ryzyka w cyberprzestrzeni zgodnie z art. 18 ust. 1;b)
opracowanie kompleksowego sprawozdania z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej zgodnie z art. 23;c)
opracowanie wspólnych ram cyberbezpieczeństwa w odniesieniu do energii elektrycznej zgodnie z rozdziałem III;d)
opracowanie zalecenia dotyczącego zamówień publicznych w dziedzinie cyberbezpieczeństwa zgodnie z art. 35;e)
opracowanie metodyki określania skali klasyfikacji cyberataków zgodnie z art. 37 ust. 8;f)
opracowanie tymczasowego wskaźnika wpływu na cyberbezpieczeństwo w odniesieniu do energii elektrycznej ("ECII") zgodnie z art. 48 ust. 1 lit. a);g)
opracowanie skonsolidowanego wstępnego wykazu podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 48 ust. 3;h)
opracowanie skonsolidowanego wstępnego wykazu ogólnounijnych procesów o dużym wpływie i procesów o krytycznym wpływie zgodnie z art. 48 ust. 4;i)
opracowanie wstępnego wykazu europejskich i międzynarodowych norm i kontroli zgodnie z art. 48 ust. 6;j)
przeprowadzenie ogólnounijnej oceny ryzyka w cyberprzestrzeni zgodnie z art. 19;k)
przeprowadzenie regionalnych ocen ryzyka w cyberprzestrzeni zgodnie z art. 21;l)
określenie regionalnych planów ograniczenia ryzyka w cyberprzestrzeni zgodnie z art. 22;m)
opracowanie wytycznych dotyczących europejskich programów certyfikacji cyberbezpieczeństwa produktów ICT, usług ICT i procesów ICT zgodnie z art. 36;n)
opracowanie wytycznych dotyczących wykonania niniejszego rozporządzenia w porozumieniu z ACER i ENISA.2.
Współpraca między ENTSO energii elektrycznej a organizacją OSD UE może odbywać się w ramach grupy roboczej ds. ryzyka w cyberprzestrzeni.3.
ENTSO energii elektrycznej i organizacja OSD UE regularnie informują ACER, ENISA, grupę współpracy NIS oraz Grupę Koordynacyjną ds. Energii Elektrycznej o postępach w realizacji ogólnounijnych i regionalnych ocen ryzyka w cyberprzestrzeni zgodnie z art. 19 i 21.Współpraca między ACER a właściwymi organami
ACER we współpracy z każdym właściwym organem:
1)
monitoruje wdrażanie środków zarządzania ryzykiem w cyberprzestrzeni zgodnie z art. 12 ust. 2 lit. a) oraz obowiązki sprawozdawcze zgodnie z art. 27 i art. 39; oraz2)
monitoruje proces przyjmowania i wdrażanie warunków, metod lub planów zgodnie z art. 6 ust. 2 i 3. Współpraca między ACER, ENISA i każdym właściwym organem może odbywać się w ramach podmiotu monitorującego ryzyko w cyberprzestrzeni.14 Rozporządzenie wykonawcze Komisji (UE) nr 1348/2014 z dnia 17 grudnia 2014 r. w sprawie przekazywania danych wdrażające art. 8 ust. 2 i 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1227/2011 w sprawie integralności i przejrzystości hurtowego rynku energii (Dz.U. L 363 z 18.12.2014, s. 121).
15 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/942 z dnia 5 czerwca 2019 r. ustanawiające Agencję Unii Europejskiej ds. Współpracy Organów Regulacji Energetyki (Dz.U. L 158 z 14.6.2019, s. 22).
16 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniające dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylające decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (Dz.U. L 316 z 14.11.2012, s. 12).
17 Decyzja Komisji z dnia 15 listopada 2012 r. ustanawiająca Grupę Koordynacyjną ds. Energii Elektrycznej (2012/C 353/02) (Dz.U. C 353 z 17.11.2012, s. 2).
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.