Rozdział 2 - OCENA RYZYKA I IDENTYFIKACJA ODPOWIEDNICH RODZAJÓW RYZYKA W CYBERPRZESTRZENI - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej
Dzienniki UE
Dz.U.UE.L.2024.1366
Akt obowiązujący Wersja od: 24 maja 2024 r.
ROZDZIAŁ II
OCENA RYZYKA I IDENTYFIKACJA ODPOWIEDNICH RODZAJÓW RYZYKA W CYBERPRZESTRZENI
OCENA RYZYKA I IDENTYFIKACJA ODPOWIEDNICH RODZAJÓW RYZYKA W CYBERPRZESTRZENI
Metody oceny ryzyka w cyberprzestrzeni
1.
Do dnia 13 marca 2025 r. OSP, z pomocą ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i po konsultacji z grupą współpracy NIS, przedkładają propozycję metod oceny ryzyka w cyberprzestrzeni na szczeblu unijnym, regionalnym i na szczeblu państw członkowskich.2.
Metody oceny ryzyka w cyberprzestrzeni na szczeblu unijnym, regionalnym i na szczeblu państw członkowskich obejmują:a)
wykaz cyberzagrożeń, które należy uwzględnić, obejmujący co najmniej następujące zagrożenia dla łańcucha dostaw:(i)
poważna i nieoczekiwana korupcja łańcucha dostaw;(ii)
brak dostępności produktów ICT, usług ICT lub procesów ICT z łańcucha dostaw;(iii)
cyberataki inicjowane przez podmioty w łańcuchu dostaw;(iv)
wycieki informacji szczególnie chronionych w łańcuchu dostaw, w tym śledzenie łańcucha dostaw;(v)
wprowadzanie luk lub backdoorów do produktów ICT, usług ICT lub procesów ICT za pośrednictwem podmiotów łańcucha dostaw;b)
kryteria oceny wpływu ryzyka w cyberbezpieczeństwie jako wysokiego lub krytycznego z zastosowaniem określonych progów w zakresie konsekwencji i prawdopodobieństwa;c)
podejście do analizy ryzyka w cyberbezpieczeństwie wynikającego z dotychczasowych systemów, kaskadowych skutków cyberataków oraz charakteru systemów obsługujących sieć w czasie rzeczywistym;d)
podejście do analizy ryzyka w cyberbezpieczeństwie wynikającego z zależności od jednego dostawcy produktów ICT, usług ICT lub procesów ICT.3.
W ramach metody oceny ryzyka w cyberprzestrzeni na szczeblu unijnym, regionalnym i na szczeblu państw członkowskich dokonuje się oceny ryzyka w cyberprzestrzeni przy użyciu tej samej macierzy wpływu ryzyka. Macierz wpływu ryzyka:a)
służy do pomiaru skutków cyberataków w oparciu o następujące kryteria:(i)
czas braku dostaw energii elektrycznej;(ii)
ograniczenie wytwarzania energii elektrycznej;(iii)
utrata mocy w ramach rezerwy pierwotnej utrzymania częstotliwości;(iv)
utrata mocy do przywrócenia działania sieci elektroenergetycznej bez polegania na zewnętrznej sieci przesyłowej po całkowitym lub częściowym wyłączeniu (zwanego również "rozruchem autonomicznym");(v)
przewidywany czas wyłączenia dostaw energii elektrycznej wpływającego na odbiorców w połączeniu ze skalą wyłączenia pod względem liczby odbiorców oraz(vi)
wszelkie inne kryteria ilościowe lub jakościowe, które w racjonalny sposób mogłyby służyć jako wskaźnik wpływu cyberataku na transgraniczne przepływy energii elektrycznej;b)
służy do pomiaru prawdopodobieństwa wystąpienia incydentu jako częstotliwość cyberataków rocznie.4.
Metodyki oceny ryzyka w cyberprzestrzeni na poziomie Unii opisują, w jaki sposób zostaną określone wartości ECII dla progu dużego wpływu i progu krytycznego wpływu. ECII umożliwia podmiotom oszacowanie za pomocą kryteriów, o których mowa w ust. 2 lit. b), wpływu ryzyka na ich proces biznesowy podczas ocen wpływu na działalność, które przeprowadzają zgodnie z art. 26 ust. 4 lit. c) pkt (i).5.
ENTSO energii elektrycznej, we współpracy z organizacją OSD UE, informuje Grupę Koordynacyjną ds. Energii Elektrycznej o propozycjach dotyczących metod oceny ryzyka w cyberprzestrzeni opracowanych zgodnie z ust. 1.Ogólnounijna ocena ryzyka w cyberprzestrzeni
1.
W terminie 9 miesięcy od zatwierdzenia metodyk oceny ryzyka w cyberprzestrzeni zgodnie z art. 8, a następnie co trzy lata ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z grupą współpracy NIS, bez uszczerbku dla art. 22 dyrektywy (UE) 2022/2555, przeprowadza ogólnounijną ocenę ryzyka w cyberprzestrzeni i sporządza projekt ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni. W tym celu będą one korzystać z metod opracowanych na podstawie art. 18 i zatwierdzonych na podstawie art. 8 w celu identyfikacji, analizy i oceny ewentualnych konsekwencji cyberataków mających wpływ na bezpieczeństwo pracy systemu elektroenergetycznego i zakłócających transgraniczne przepływy energii elektrycznej. W ogólnounijnej ocenie ryzyka w cyberprzestrzeni nie uwzględnia się kwestii szkody prawnej, szkody finansowej ani nadszarpnięcia reputacji spowodowanych cyberatakami.2.
W ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni uwzględnia się następujące elementy:a)
ogólnounijne procesy o dużym wpływie i ogólnounijne procesy o krytycznym wpływie;b)
macierz wpływu ryzyka, którą podmioty i właściwe organy stosują do oceny ryzyka w cyberprzestrzeni zidentyfikowanego w ocenie ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego przeprowadzonej na podstawie art. 20 oraz w ocenie ryzyka w cyberprzestrzeni na poziomie podmiotu zgodnie z art. 26 ust. 2 lit. b).3.
W odniesieniu do ogólnounijnych procesów o dużym wpływie i ogólnounijnych procesów o krytycznym wpływie ogólnounijne sprawozdanie z oceny ryzyka w cyberprzestrzeni zawiera:a)
ocenę możliwych konsekwencji cyberataku z wykorzystaniem wskaźników określonych w metodyce oceny ryzyka w cyberprzestrzeni opracowanej na podstawie art. 18 ust. 2, 3 i 4 i zatwierdzonej na podstawie art. 8;b)
ECII oraz progi dużego i krytycznego wpływu, które właściwe organy stosują zgodnie z art. 24 ust. 1 i 2 w celu zidentyfikowania podmiotów o dużym wpływie i podmiotów o krytycznym wpływie uczestniczących w ogólnounij- nych procesach o dużym wpływie oraz w ogólnounijnych procesach o krytycznym wpływie.4.
ENTSO energii elektrycznej, we współpracy z organizacją OSD UE, przedkłada ACER projekt ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni wraz z wynikami ogólnounijnej oceny ryzyka w cyberprzestrzeni. ACER wydaje opinię na temat projektu sprawozdania w terminie trzech miesięcy od jego otrzymania. ENTSO energii elektrycznej i organizacja OSD UE uwzględniają w jak największym stopniu opinię ACER przy przygotowaniu ostatecznej wersji tego sprawozdania.5.
W ciągu trzech miesięcy od otrzymania opinii ACER ENTSO energii elektrycznej, we współpracy z organizacją OSD UE, przedstawia ACER, Komisji, ENISA i właściwym organom wersję ostateczną ogólnounijnego sprawozdania z oceny ryzyka w cyberprzestrzeni.Ocena ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego
1.
Każdy właściwy organ przeprowadza ocenę ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego w odniesieniu do wszystkich podmiotów o dużym wpływie i podmiotów o krytycznym wpływie w swoim państwie członkowskim, stosując metodyki opracowane zgodnie z art. 18 i zatwierdzone zgodnie z art. 8. Ocena ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego obejmuje identyfikację i analizę ryzyka cyberataków mających wpływ na bezpieczeństwo pracy systemu elektroenergetycznego i zakłócających transgraniczne przepływy energii elektrycznej. W ocenie ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego nie uwzględnia się kwestii szkody prawnej, szkody finansowej ani nadszarpnięcia reputacji spowodowanych cyberatakami.2.
W terminie 21 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6 i co trzy lata od tej daty oraz po konsultacji z właściwym organem odpowiedzialnym za cyberbez- pieczeństwo w obszarze energii elektrycznej każdy właściwy organ, wspierany przez CSIRT, przekazuje ENTSO energii elektrycznej i organizacji OSD UE sprawozdanie z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego, zawierające następujące informacje dotyczące każdego procesu biznesowego o dużym wpływie i procesu biznesowego o krytycznym wpływie:a)
stan wdrożenia minimalnych i zaawansowanych kontroli cyberbezpieczeństwa na podstawie art. 29;b)
wykaz wszystkich cyberataków zgłoszonych w ciągu ostatnich trzech lat na podstawie art. 38 ust. 3;c)
streszczenie informacji na temat cyberzagrożeń zgłoszonych w ciągu poprzednich trzech lat zgodnie z art. 38 ust. 6;d)
w odniesieniu do każdego ogólnounijnego procesu o dużym wpływie lub procesu o krytycznym wpływie - oszacowanie ryzyka naruszenia poufności, integralności i dostępności informacji i istotnych aktywów;
e)
w stosownych przypadkach wykaz dodatkowych podmiotów określonych jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgodnie z art. 24 ust. 1, 2, 3 i 5.3.
W sprawozdaniu z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego uwzględnia się plan gotowości na wypadek zagrożeń państwa członkowskiego sporządzony na podstawie art. 10 rozporządzenia (UE) 2019/941.4.
Informacje zawarte w sprawozdaniu z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego na podstawie ust. 2 lit. a)-d) nie mogą być powiązane z konkretnymi podmiotami lub aktywami. Sprawozdanie z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego musi również zawierać ocenę ryzyka dotyczącą czasowych odstępstw przyznanych przez właściwe organy państw członkowskich na podstawie art. 30.5.
ENTSO energii elektrycznej i organizacja OSD UE mogą zwrócić się do właściwych organów o dodatkowe informacje w odniesieniu do zadań określonych w ust. 2 lit. a) i c).6.
Właściwe organy zapewniają, aby przekazywane przez nie informacje były dokładne i prawidłowe.Regionalne oceny ryzyka w cyberprzestrzeni
1.
ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z odpowiednim regionalnym centrum koordynacyjnym, przeprowadza regionalną ocenę ryzyka w cyberprzestrzeni w odniesieniu do każdego regionu pracy systemu, wykorzystując metody opracowane na podstawie art. 19 i zatwierdzone na podstawie art. 8 w celu identyfikacji, analizy i oceny ryzyka cyberataków mających wpływ na bezpieczeństwo pracy systemu elektroenergetycznego i zakłócających transgraniczne przepływy energii elektrycznej. W regionalnych ocenach ryzyka w cyberprzestrzeni nie uwzględnia się kwestii szkody prawnej, szkody finansowej ani nadszarpnięcia reputacji spowodowanych cyberatakami.2.
W terminie 30 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6, a następnie co trzy lata ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z grupą współpracy NIS, sporządza regionalne sprawozdanie z oceny ryzyka w cyberprzestrzeni w odniesieniu do każdego regionu pracy systemu.3.
W regionalnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni uwzględnia się istotne informacje zawarte w ogól- nounijnych sprawozdaniach z oceny ryzyka w cyberprzestrzeni oraz w sprawozdaniach z ocen ryzyka w zakresie cyberprzestrzeni na poziomie państw członkowskich.4.
W regionalnej ocenie ryzyka w cyberprzestrzeni uwzględnia się regionalne scenariusze kryzysu elektroenergetycznego związane z cyberbezpieczeństwem ustalone zgodnie z art. 6 rozporządzenia (UE) 2019/941.Regionalne plany ograniczenia ryzyka w cyberprzestrzeni
1.
W terminie 36 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6 i nie później niż do dnia 13 czerwca 2031 r., a następnie co trzy lata, OSP, przy wsparciu ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z regionalnymi centrami koordynacyjnymi i grupą współpracy NIS, opracowują regionalny plan ograniczenia ryzyka w cyberprzestrzeni w odniesieniu do każdego regionu pracy systemu.2.
Regionalne plany ograniczenia ryzyka w cyberprzestrzeni obejmują:a)
minimalne i zaawansowane kontrole cyberbezpieczeństwa, które podmioty o dużym wpływie i podmioty o krytycznym wpływie stosują w danym regionie pracy systemu;b)
ryzyko w cyberprzestrzeni w regionach pracy systemu pozostałe po zastosowaniu mechanizmów kontroli, o których mowa w lit. a).3.
ENTSO energii elektrycznej przedkłada regionalne plany ograniczania ryzyka odpowiednim operatorom systemów przesyłowych, właściwym organom oraz Grupie Koordynacyjnej ds. Energii Elektrycznej. Grupa Koordynacyjna ds. Energii Elektrycznej może zalecić wprowadzenie zmian.4.
OSP, przy wsparciu ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z grupą współpracy NIS, aktualizują regionalne plany ograniczenia ryzyka co trzy lata, chyba że okoliczności wymagają częstszych aktualizacji.Kompleksowe sprawozdanie z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej
1.
W terminie 40 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6, a następnie co trzy lata OSP, przy wsparciu ENTSO energii elektrycznej, we współpracy z organizacją OSD UE i w porozumieniu z grupą współpracy NIS, przedkładają Grupie Koordynacyjnej ds. Energii Elektrycznej sprawozdanie z wyniku oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej ("kompleksowe sprawozdanie z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej").2.
Kompleksowe sprawozdanie z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej opiera się na ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni, sprawozdaniach z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego i na regionalnych sprawozdaniach z oceny ryzyka w cyberprzestrzeni i obejmuje następujące informacje:a)
wykaz ogólnounijnych procesów o dużym wpływie i procesów o krytycznym wpływie wskazanych w ogólnounij- nym sprawozdaniu z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 2 lit. a), w tym oszacowanie prawdopodobieństwa i wpływu ryzyka w cyberprzestrzeni ocenionego w regionalnych sprawozdaniach z oceny ryzyka w cyberprzestrzeni zgodnie z art. 21 ust. 2 i art. 19 ust. 3 lit. a);b)
bieżące cyberzagrożenia, ze szczególnym uwzględnieniem pojawiających się zagrożeń i pojawiającego się ryzyka dla systemu elektroenergetycznego;c)
informacje o cyberatakach na poziomie Unii, które miały miejsce w poprzednim okresie, zapewniające krytyczny przegląd tego, w jaki sposób takie cyberataki mogły mieć wpływ na transgraniczne przepływy energii elektrycznej;d)
ogólny stan wdrożenia środków w zakresie cyberbezpieczeństwa;e)
stan wdrożenia przepływów informacji zgodnie z art. 37 i 38;f)
wykaz informacji lub szczególne kryteria klasyfikacji informacji na podstawie art. 46;g)
zidentyfikowane i wyraźnie wskazane czynniki ryzyka, które mogą wynikać z zarządzania łańcuchem dostaw w sposób niezabezpieczony;h)
wyniki regionalnych i międzyregionalnych ćwiczeń w dziedzinie cyberbezpieczeństwa organizowanych na podstawie art. 44 i suma zebranych dzięki nim doświadczeń;i)
analiza rozwoju sytuacji w zakresie ogólnego transgranicznego ryzyka w cyberprzestrzeni w sektorze energii elektrycznej od czasu ostatnich regionalnych ocen ryzyka w cyberprzestrzeni;j)
wszelkie pozostałe informacje, które mogą być przydatne do określenia możliwych usprawnień niniejszego rozporządzenia lub potrzeby zmiany niniejszego rozporządzenia bądź któregokolwiek z jego narzędzi; orazk)
zagregowane i zanonimizowane informacje na temat odstępstw przyznanych na podstawie art. 30 ust. 3.3.
Podmioty wymienione w art. 2 ust. 1 mogą wnieść wkład w opracowanie kompleksowego sprawozdania z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej, z poszanowaniem poufności informacji zgodnie z art. 47. OSP, przy wsparciu ENTSO energii elektrycznej i we współpracy z organizacją OSD UE, konsultują się z tymi podmiotami od wczesnego etapu.4.
Kompleksowe sprawozdanie z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej podlega przepisom dotyczącym ochrony wymiany informacji zgodnie z art. 46. Bez uszczerbku dla art. 10 ust. 4 i art. 47 ust. 4 ENTSO energii elektrycznej i organizacja OSD UE udostępniają publiczną wersję tego sprawozdania, która nie zawiera informacji, które mogą wyrządzić szkodę podmiotom wymienionym w art. 2 ust. 1. Publiczną wersję tego sprawozdania udostępnia się wyłącznie za zgodą grupy współpracy NIS oraz Grupy Koordynacyjnej ds. Energii Elektrycznej. ENTSO energii elektrycznej, w koordynacji z organizacją OSD UE, odpowiada za sporządzenie i udostępnienie publicznej wersji sprawozdania.Identyfikacja podmiotów o dużym wpływie i podmiotów o krytycznym wpływie
1.
Każdy właściwy organ identyfikuje, za pomocą ECII oraz progów dużego wpływu i progów krytycznego wpływu zawartych w ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 3 lit. b), podmioty o dużym wpływie i podmioty o krytycznym wpływie w jego państwie członkowskim, które są zaangażowane w ogólnou- nijne procesy o dużym wpływie i procesy o krytycznym wpływie. Właściwe organy mogą zażądać informacji od podmiotu w ich państwie członkowskim w celu określenia wartości ECII w odniesieniu do tego podmiotu. Jeżeli ustalony ECII podmiotu przekracza próg dużego wpływu lub próg krytycznego wpływu, zidentyfikowany w ten sposób podmiot zostaje wymieniony w sprawozdaniu z oceny ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego, o którym mowa w art. 20 ust. 2.2.
Każdy właściwy organ identyfikuje, za pomocą ECII oraz progów dużego wpływu i progów krytycznego wpływu zawartych w ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 3 lit. b), podmioty o dużym wpływie i podmioty o krytycznym wpływie, które nie mają siedziby w Unii, w zakresie, w jakim są aktywne w UE. Właściwy organ może zażądać informacji od podmiotu, który nie ma siedziby w Unii, w celu określenia wartości ECII w odniesieniu do tego podmiotu.3.
Każdy właściwy organ może wskazać dodatkowe podmioty w swoim państwie członkowskim jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie, jeżeli spełnione są następujące kryteria:a)
podmiot jest częścią grupy podmiotów, w przypadku której istnieje znaczne ryzyko, że cyberatak wpłynie na nie jednocześnie;b)
zagregowany ECII grupy podmiotów przekracza próg dużego wpływu lub próg krytycznego wpływu.4.
Jeżeli właściwy organ zidentyfikuje dodatkowe podmioty zgodnie z ust. 3, wszystkie procesy w tych podmiotach, w przypadku których zagregowany ECII grupy przekracza próg dużego wpływu, uznaje się za procesy o dużym wpływie, a wszystkie procesy w tych podmiotach, w przypadku których zagregowany ECII grupy przekracza progi krytycznego wpływu, uznaje się za procesy o krytycznym wpływie.5.
Jeżeli właściwy organ zidentyfikuje podmioty, o których mowa w ust. 3 lit. a), w więcej niż jednym państwie członkowskim, informuje o tym pozostałe właściwe organy, ENTSO energii elektrycznej i organizację OSD UE. ENTSO energii elektrycznej we współpracy z organizacją OSD UE, w oparciu o informacje otrzymane od wszystkich właściwych organów, przekazuje właściwym organom analizę agregacji podmiotów działających w więcej niż jednym państwie członkowskim, które mogą być źródłem rozproszonego zakłócenia w transgranicznych przepływach energii elektrycznej i w związku z tym taka sytuacja może skutkować cyberatakiem. Jeżeli grupa podmiotów w szeregu państw członkowskich zostanie zidentyfikowana jako agregacja, w przypadku której ECII przekracza próg dużego wpływu lub próg krytycznego wpływu wszystkie zainteresowane właściwe organy identyfikują te podmioty w takiej grupie, na podstawie zagregowanego ECII grupy podmiotów, jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie dla danego państwa członkowskiego i zamieszcza się te zidentyfikowane podmioty w ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni.6.
Każdy właściwy organ w terminie dziewięciu miesięcy od otrzymania od ENTSO energii elektrycznej i organizacji OSD UE powiadomienia o ogólnounijnym sprawozdaniu z oceny ryzyka w cyberprzestrzeni zgodnie z art. 19 ust. 5, a w każdym razie nie później niż do dnia 13 czerwca 2028 r., powiadamia podmioty znajdujące się w wykazie o tym, że zostały zidentyfikowane jako podmioty o dużym wpływie lub podmioty o krytycznym wpływie w jego państwie członkowskim.7.
Jeżeli dostawca usług zostanie zgłoszony właściwemu organowi jako kluczowy dostawca usług ICT zgodnie z art. 27 lit. c), właściwy organ powiadamia o tym właściwe organy państw członkowskich, na których terytorium znajduje się siedziba lub przedstawiciel tego dostawcy. Ten ostatni właściwy organ powiadamia dostawcę usług o tym, że został on zidentyfikowany jako kluczowy dostawca usług.Krajowe systemy weryfikacji
1.
Właściwe organy mogą utworzyć krajowy system weryfikacji w celu sprawdzenia, czy podmioty o krytycznym wpływie zidentyfikowane zgodnie z art. 24 ust. 1 wdrożyły krajowe ramy prawne zawarte w macierzy mapowania, o której mowa w art. 34. Krajowy system weryfikacji może opierać się na inspekcji przeprowadzanej przez właściwy organ, niezależnych audytach bezpieczeństwa lub wzajemnych ocenach przeprowadzanych przez podmioty o krytycznym wpływie w tym samym państwie członkowskim nadzorowane przez właściwy organ.2.
Jeżeli właściwy organ podejmie decyzję o utworzeniu krajowego systemu weryfikacji, organ ten zapewnia prowadzenie weryfikacji zgodnie z następującymi wymogami:a)
każda strona przeprowadzająca wzajemną ocenę, audyt lub inspekcję musi być niezależna od weryfikowanego podmiotu o krytycznym wpływie i nie może znajdować się w sytuacji konfliktu interesów;b)
personel przeprowadzający wzajemną ocenę, audyt lub inspekcję posiada możliwą do wykazania wiedzę na temat następujących zagadnień:(i)
cyberbezpieczeństwo w sektorze energii elektrycznej;(ii)
systemy zarządzania cyberbezpieczeństwem;(iii)
zasady audytu;(iv)
oceny ryzyka w cyberprzestrzeni;(v)
wspólne ramy cyberbezpieczeństwa w odniesieniu do energii elektrycznej;(vi)
krajowe ramy prawne i regulacyjne oraz normy europejskie i międzynarodowe objęte zakresem weryfikacji;(vii)
procesy o krytycznym wpływie wchodzące w zakres weryfikacji;c)
strona przeprowadzająca wzajemną ocenę, audyt lub inspekcję musi otrzymać wystarczająco dużo czasu na wykonanie tych działań;d)
strona przeprowadzająca wzajemną ocenę, audyt lub inspekcję podejmuje odpowiednie środki w celu ochrony informacji, które gromadzi podczas weryfikacji, zgodnie z ich poziomem poufności; oraze)
wzajemne oceny, audyty lub inspekcje przeprowadza się co najmniej raz w roku i odbywają się one w pełnym zakresie weryfikacji co najmniej raz na trzy lata.3.
Jeżeli właściwy organ podejmie decyzję o utworzeniu krajowego systemu weryfikacji, co roku informuje ACER o częstotliwości przeprowadzania inspekcji w ramach tego systemu.Zarządzanie ryzykiem w cyberprzestrzeni na poziomie podmiotu
1.
Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie zidentyfikowany przez właściwe organy na podstawie art. 24 ust. 1 wykonuje czynności w zakresie zarządzania ryzykiem w cyberprzestrzeni w odniesieniu do wszystkich swoich aktywów w swoim obszarze o dużym wpływie i obszarze o krytycznym wpływie. Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie co trzy lata wykonuje czynności w zakresie zarządzania ryzykiem obejmujące etapy, o których mowa w ust. 2.2.
Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie opiera swoje zarządzanie ryzykiem w cyberprzestrzeni na podejściu ukierunkowanym na ochronę jego sieci i systemów informatycznych, które obejmuje następujące etapy:a)
ustalenie kontekstu;b)
ocena ryzyka w cyberprzestrzeni na poziomie podmiotu;c)
zaradzenie ryzyku w cyberprzestrzeni;d)
akceptacja ryzyka w cyberprzestrzeni.3.
Na etapie ustalania kontekstu każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie:a)
określa zakres oceny ryzyka w cyberprzestrzeni, w tym procesy o dużym wpływie i procesy o krytycznym wpływie określone przez ENTSO energii elektrycznej i organizację OSD UE oraz inne procesy, które mogą być celem cybera- taków, o dużym wpływie lub krytycznym wpływie na transgraniczne przepływy energii elektrycznej; orazb)
określa kryteria oceny ryzyka i akceptacji ryzyka zgodnie z macierzą wpływu ryzyka, które podmioty i właściwe organy stosują do oceny ryzyka w cyberprzestrzeni i w ramach metodyk oceny ryzyka w cyberprzestrzeni na poziomie Unii, na szczeblu regionalnym i na poziomie państw członkowskich, opracowanych przez ENTSO energii elektrycznej i organizację OSD UE zgodnie z art. 19 ust. 2.4.
Na etapie oceny ryzyka w cyberprzestrzeni każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie:a)
identyfikuje ryzyko w cyberprzestrzeni, biorąc pod uwagę:(i)
wszystkie aktywa wykorzystywane w ogólnounijnych procesach o dużym wpływie i procesach o krytycznym wpływie wraz z oceną ewentualnego wpływu na transgraniczne przepływy energii elektrycznej, jeżeli aktywa te są zagrożone;(ii)
możliwe cyberzagrożenia z uwzględnieniem cyberzagrożeń zidentyfikowanych w najnowszym kompleksowym sprawozdaniu z oceny ryzyka w cyberprzestrzeni w odniesieniu do transgranicznych przepływów energii elektrycznej. o którym mowa w art. 23, oraz zagrożenia dla łańcucha dostaw;(iii)
podatności, w tym podatności dotychczasowych systemów;(iv)
możliwe scenariusze cyberataków, w tym cyberataków mających wpływ na bezpieczeństwo pracy systemu elektroenergetycznego i zakłócających transgraniczne przepływy energii elektrycznej;(v)
odpowiednie oceny ryzyka przeprowadzane na poziomie Unii, w tym skoordynowane oceny ryzyka krytycznych łańcuchów dostaw zgodnie z art. 22 dyrektywy (UE) 2022/2555, oraz(vi)
wdrożone kontrole;b)
analizuje prawdopodobieństwo i konsekwencje ryzyka w cyberprzestrzeni określonego w lit. a) oraz określa poziom ryzyka w cyberprzestrzeni przy użyciu macierzy wpływu ryzyka stosowanej do oceny ryzyka w cyberprzestrzeni w ramach metodyk oceny ryzyka w cyberprzestrzeni na szczeblu unijnym, regionalnym i na szczeblu państw członkowskich, opracowanych przez OSP, przy wsparciu ENTSO energii elektrycznej i we współpracy z organizacją OSD UE zgodnie z art. 19 ust. 2;c)
klasyfikuje aktywa zgodnie z możliwymi konsekwencjami naruszenia cyberbezpieczeństwa i określa obszar o dużym wpływie i obszar o krytycznym wpływie, stosując następujące etapy:(i)
przeprowadza, w odniesieniu do wszystkich procesów objętych oceną ryzyka w cyberprzestrzeni, ocenę skutków dla działalności z wykorzystaniem ECII;(ii)
klasyfikuje proces jako proces o dużym wpływie lub proces o krytycznym wpływie, jeżeli jego ECII przekracza, odpowiednio, próg dużego wpływu lub próg krytycznego wpływu;(iii)
określa wszystkie aktywa o dużym wpływie i aktywa o krytycznym wpływie jako aktywa potrzebne do, odpowiednio, procesów o dużym wpływie i procesów o krytycznym wpływie;(iv)
określa obszary o dużym wpływie i obszary o krytycznym wpływie obejmujące, odpowiednio, wszystkie aktywa o dużym wpływie i aktywa o krytycznym wpływie, tak aby można było kontrolować dostęp do tych obszarów;d)
ocenia czynniki ryzyka w cyberbezpieczeństwie, nadając im priorytet za pomocą kryteriów oceny ryzyka i kryteriów akceptacji ryzyka, o których mowa w ust. 3 lit. b).5.
Na etapie zaradzenia ryzyku w cyberprzestrzeni każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie sporządza plan ograniczania ryzyka na poziomie podmiotu, wybierając warianty zaradzenia ryzyku odpowiednie do zarządzania ryzykiem i identyfikacji pozostałego ryzyka.6.
Na etapie akceptacji ryzyka w cyberprzestrzeni każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie podejmuje decyzję, czy zaakceptować ryzyko rezydualne, na podstawie kryteriów akceptacji ryzyka ustanowionych w ust. 3 lit. b).7.
Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie rejestruje aktywa zidentyfikowane w ust. 1 w wykazie aktywów. Ten wykaz aktywów nie stanowi części sprawozdania z oceny ryzyka.8.
Podczas kontroli właściwy organ może przeprowadzić inspekcję aktywów znajdujących się w wykazie.Sprawozdawczość w zakresie oceny ryzyka na poziomie podmiotu
Każdy podmiot o dużym wpływie i podmiot o krytycznym wpływie przedkłada właściwemu organowi, w terminie 12 miesięcy od powiadomienia podmiotów o dużym wpływie i podmiotów o krytycznym wpływie zgodnie z art. 24 ust. 6 i co trzy lata od tej daty, sprawozdanie zawierające następujące informacje:
1)
wykaz kontroli wybranych na potrzeby planu ograniczania ryzyka na poziomie podmiotu zgodnie z art. 26 ust. 5 wraz z aktualnym stanem wdrożenia każdej kontroli;2)
w odniesieniu do każdego ogólnounijnego procesu o dużym wpływie lub procesu o krytycznym wpływie - oszacowanie ryzyka naruszenia poufności, integralności i dostępności informacji i istotnych aktywów. Oszacowanie tego ryzyka podaje się zgodnie z macierzą wpływu ryzyka w art. 19 ust. 2;3)
wykaz kluczowych dostawców usług ICT w odniesieniu do ich procesów o krytycznym wpływie.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.