Rozdział 6 - RAMY ĆWICZEŃ W DZIEDZINIE CYBERBEZPIECZEŃSTWA W ODNIESIENIU DO ENERGII ELEKTRYCZNEJ - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej

Dzienniki UE

Dz.U.UE.L.2024.1366

Akt obowiązujący
Wersja od: 24 maja 2024 r.

ROZDZIAŁ  VI

RAMY ĆWICZEŃ W DZIEDZINIE CYBERBEZPIECZEŃSTWA W ODNIESIENIU DO ENERGII ELEKTRYCZNEJ

Artykuł  43

Ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu i na poziomie państwa członkowskiego

1. 
Do dnia 31 grudnia roku następującego po powiadomieniu podmiotów o krytycznym wpływie, a następnie co trzy lata, każdy podmiot o krytycznym wpływie przeprowadza ćwiczenie w dziedzinie cyberbezpieczeństwa obejmujące co najmniej jeden scenariusz cyberataków mających bezpośredni lub pośredni wpływ na transgraniczne przepływy energii elektrycznej i związanych z ryzykiem zidentyfikowanym w ramach ocen ryzyka w cyberprzestrzeni na poziomie państwa członkowskiego i podmiotu zgodnie z art. 20 i art. 27.
2. 
Na zasadzie odstępstwa od ust. 1 właściwy organ ds. gotowości na wypadek zagrożeń po konsultacji z właściwym organem i odpowiednim organem ds. zarządzania kryzysowego w cyberbezpieczeństwie wyznaczonymi lub ustanowionymi na podstawie art. 9 dyrektywy (UE) 2022/2555 może podjąć decyzję o zorganizowaniu ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie państwa członkowskiego, jak opisano w ust. 1, zamiast przeprowadzania ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu. W tym względzie właściwy organ informuje:
a)
wszystkie podmioty o krytycznym wpływie z danego państwa członkowskiego, krajowy organ regulacyjny, CSIRT oraz właściwy organ odpowiedzialny za cyberbezpieczeństwo najpóźniej do dnia 30 czerwca roku poprzedzającego przeprowadzenie ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu;
b)
każdy podmiot, który uczestniczy w ćwiczeniu w dziedzinie cyberbezpieczeństwa na szczeblu państwa członkowskiego, najpóźniej 6 miesięcy przed rozpoczęciem ćwiczenia.
3. 
Właściwy organ ds. gotowości na wypadek zagrożeń przy wsparciu technicznym jego CSIRT organizuje ćwiczenie w dziedzinie cyberbezpieczeństwa określone w ust. 2 na poziomie państwa członkowskiego niezależnie lub w kontekście innego ćwiczenia w dziedzinie cyberbezpieczeństwa w danym państwie członkowskim. Aby móc grupować te ćwiczenia, właściwy organ ds. gotowości na wypadek zagrożeń może odroczyć o jeden rok przeprowadzenie ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie państwa członkowskiego, o którym mowa w ust. 1.
4. 
Ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie podmiotu i na poziomie państw członkowskich muszą być spójne z krajowymi ramami zarządzania kryzysowego w cyberbezpieczeństwie zgodnie z art. 9 ust. 4 lit. d) dyrektywy (UE) 2022/2555.
5. 
Do dnia 31 grudnia 2026 r., a następnie co trzy lata ENTSO energii elektrycznej we współpracy z organizacją OSD UE udostępnia wzór scenariusza ćwiczeń na potrzeby przeprowadzania ćwiczeń w dziedzinie cyberbezpieczeństwa na poziomie podmiotu i państwa członkowskiego, o których mowa w ust. 1. We wzorze tym bierze się pod uwagę wyniki ostatnio przeprowadzonej oceny ryzyka w cyberprzestrzeni na poziomie podmiotu i państwa członkowskiego oraz uwzględnia się kluczowe kryteria powodzenia. ENTSO energii elektrycznej i organizacja OSD UE angażują ACER i ENISA w opracowywanie takiego wzoru.
Artykuł  44

Regionalne lub międzyregionalne ćwiczenia w dziedzinie cyberbezpieczeństwa

1. 
Do dnia 31 grudnia 2029 r., a następnie co trzy lata, w każdym regionie pracy systemu ENTSO energii elektrycznej we współpracy z organizacją OSD UE organizuje regionalne ćwiczenie w dziedzinie cyberbezpieczeństwa. Podmioty o krytycznym wpływie w danym regionie pracy systemu uczestniczą w regionalnym ćwiczeniu w dziedzinie cyberbezpieczeń- stwa. ENTSO energii elektrycznej we współpracy z organizacją OSD UE może zamiast regionalnego ćwiczenia w dziedzinie cyberbezpieczeństwa zorganizować międzyregionalne ćwiczenia w dziedzinie cyberbezpieczeństwa w więcej niż jednym regionie pracy systemu w tych samych ramach czasowych. W ćwiczeniu tym należy uwzględnić inne istniejące oceny ryzyka i scenariusze w zakresie cyberbezpieczeństwa i scenariusze opracowane na poziomie Unii.
2. 
ENISA wspiera ENTSO energii elektrycznej i organizację OSD UE w przygotowaniu i organizacji ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie regionalnym lub międzyregionalnym.
3. 
ENTSO energii elektrycznej w koordynacji z organizacją OSD UE informuje podmioty o krytycznym wpływie, które uczestniczą w regionalnym lub międzyregionalnym ćwiczeniu w dziedzinie cyberbezpieczeństwa, na sześć miesięcy przed jego przeprowadzeniem.
4. 
Organizator regularnego ćwiczenia w dziedzinie cyberbezpieczeństwa na poziomie unijnym zgodnie z art. 7 ust. 5 rozporządzenia (UE) 2019/881 lub jakiegokolwiek obowiązkowego ćwiczenia w dziedzinie cyberbezpieczeństwa związanego z sektorem energii elektrycznej w tym samym obszarze geograficznym może zaprosić do udziału ENTSO energii elektrycznej i organizację OSD UE. W takich przypadkach obowiązek określony w ust. 1 nie ma zastosowania, pod warunkiem że w tym samym działaniu uczestniczą wszystkie podmioty o krytycznym wpływie w danym regionie pracy systemu.
5. 
Jeżeli ENTSO energii elektrycznej i organizacja OSD UE uczestniczą w ćwiczeniu w dziedzinie cyberbezpieczeństwa, o którym mowa w ust. 4, mogą odroczyć o jeden rok przeprowadzenie regionalnego lub międzyregionalnego ćwiczenia w dziedzinie cyberbezpieczeństwa, o którym mowa w ust. 1.
6. 
Do dnia 31 grudnia 2027 r., a następnie co trzy lata ENTSO energii elektrycznej w koordynacji z organizacją OSD UE udostępnia wzór ćwiczeń na potrzeby przeprowadzania regionalnych i międzyregionalnych ćwiczeń w dziedzinie cyberbezpieczeństwa. We wzorze tym bierze się pod uwagę wyniki ostatnio przeprowadzonej oceny ryzyka w cyberprzestrzeni na poziomie regionalnym oraz uwzględnia się kluczowe kryteria powodzenia. ENTSO energii elektrycznej konsultuje się z Komisją oraz może zasięgać porady ACER, ENISA i Wspólnego Centrum Badawczego w kwestii organizacji i przeprowadzania regionalnych i międzyregionalnych ćwiczeń w dziedzinie cyberbezpieczeństwa.
Artykuł  45

Wyniki ćwiczeń w dziedzinie cyberbezpieczeństwa na poziomie podmiotu, państwa członkowskiego, regionalnym lub międzyregionalnym

1. 
Na wniosek podmiotu o krytycznym wpływie kluczowi dostawcy usług uczestniczą w ćwiczeniach w dziedzinie cyberbezpieczeństwa, o których mowa w art. 43 ust. 1 i 2 oraz w art. 44 ust. 1, jeżeli świadczą usługi na rzecz podmiotu o krytycznym wpływie w obszarze odpowiadającym zakresowi odpowiedniego ćwiczenia w dziedzinie cyberbezpieczeń- stwa.
2. 
Organizatorzy ćwiczeń w dziedzinie cyberbezpieczeństwa, o których mowa w art. 43 ust. 1 i 2 oraz w art. 44 ust. 1, za radą ENISA, jeżeli o to wniosą, i zgodnie z art. 7 ust. 5 rozporządzenia (UE) 2019/881, analizują i finalizują odpowiednie ćwiczenia w dziedzinie cyberbezpieczeństwa w drodze sprawozdania podsumowującego wnioski skierowanego do wszystkich uczestników. Sprawozdanie to obejmuje:
a)
scenariusze ćwiczeń, sprawozdania ze spotkań, najważniejsze stanowiska, sukcesy i wnioski odnotowane na każdym szczeblu łańcucha wartości energii elektrycznej;
b)
spełnienie kluczowych kryteriów powodzenia;
c)
wykaz zaleceń dla podmiotów uczestniczących w odpowiednim ćwiczeniu w dziedzinie cyberbezpieczeństwa w celu skorygowania, dostosowania lub zmiany procesów, procedur, powiązanych modeli zarządzania oraz wszelkich istniejących zobowiązań umownych z kluczowymi dostawcami usług.
3. 
Na wniosek sieci CSIRT, grupy współpracy NIS lub EU-CyCLONe, organizatorzy ćwiczeń w dziedzinie cyberbezpie- czeństwa, o których mowa w art. 43 ust. 1 i 2 oraz art. 44 ust. 1, udostępniają wyniki odpowiedniego ćwiczenia w dziedzinie cyberbezpieczeństwa. Organizatorzy udostępniają każdemu podmiotowi uczestniczącemu w ćwiczeniach informacje, o których mowa w ust. 2 lit. a) i b) niniejszego artykułu. Organizatorzy udostępniają wykaz zaleceń, o którym mowa w tym ustępie lit. c), wyłącznie podmiotom, do których odnoszą się te zalecenia.
4. 
Organizatorzy ćwiczeń w dziedzinie cyberbezpieczeństwa, o których mowa w art. 43 ust. 1 i 2 oraz art. 44 ust. 1, regularnie podejmują wraz z podmiotami uczestniczącymi w ćwiczeniach działania następcze w związku z wdrażaniem zaleceń zgodnie z ust. 2 lit. c) niniejszego artykułu.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .