(1)   Diese Verordnung gilt für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse bei den Tätigkeiten der folgenden Einrichtungen, soweit diese gemäß Artikel 24 als Einrichtungen mit erheblichen oder kritischen Auswirkungen eingestuft werden:

(2)   Die folgenden Behörden sind im Rahmen ihres derzeitigen Auftrags für die Wahrnehmung der in dieser Verordnung festgelegten Aufgaben zuständig:

(3)   Diese Verordnung gilt auch für alle Einrichtungen, die nicht in der Union niedergelassen sind, aber Dienstleistungen für Einrichtungen in der Union erbringen, sofern sie von den zuständigen Behörden gemäß Artikel 24 Absatz 2 als Einrichtungen mit erheblichen oder kritischen Auswirkungen eingestuft wurden.

(4)   Diese Verordnung lässt die Zuständigkeit der Mitgliedstaaten in Bezug auf die Aufrechterhaltung der nationalen Sicherheit und ihre Befugnis zum Schutz anderer wesentlicher staatlicher Funktionen, einschließlich der Wahrung der territorialen Unversehrtheit des Staates und der Aufrechterhaltung der öffentlichen Ordnung, unberührt.

(5)   Diese Verordnung lässt die Zuständigkeit der Mitgliedstaaten für die Aufrechterhaltung der nationalen Sicherheit in Bezug auf Tätigkeiten zur Stromerzeugung in Kernkraftwerken, einschließlich Tätigkeiten innerhalb der nuklearen Wertschöpfungskette, im Einklang mit den Verträgen unberührt.

(6)   Soweit dies für die Zwecke dieser Verordnung erforderlich ist, werden personenbezogene Daten von Einrichtungen, den zuständigen Behörden, den zentralen Anlaufstellen auf Ebene der Einrichtung und den CSIRTs im Einklang mit der Verordnung (EU) 2016/679, insbesondere auf der Grundlage von Artikel 6 der genannten Verordnung, verarbeitet.

(1)   So bald wie möglich, in jedem Fall aber bis zum 13 Dezember 2024, benennt jeder Mitgliedstaat eine nationale Regierungs- oder Regulierungsbehörde, die für die Wahrnehmung der ihr in dieser Verordnung übertragenen Aufgaben zuständig ist (im Folgenden „zuständige Behörde“). Bis die Aufgaben im Rahmen dieser Verordnung auf die zuständige Behörde übertragen wurden, nimmt die von jedem Mitgliedstaat gemäß Artikel 57 Absatz 1 der Richtlinie (EU) 2019/944 benannte Regulierungsbehörde die Aufgaben der zuständigen Behörde im Einklang mit dieser Verordnung wahr.

(2)   Die Mitgliedstaaten unterrichten die Kommission, die ACER, die ENISA, die gemäß Artikel 14 der Richtlinie (EU) 2022/2555 eingesetzte NIS-Kooperationsgruppe und die gemäß Artikel 1 des Beschlusses der Kommission vom 15. November 2012 (17) eingesetzte Koordinierungsgruppe „Strom“ unverzüglich und teilen ihnen den Namen und die Kontaktdaten ihrer gemäß Absatz 1 des vorliegenden Artikels benannten zuständigen Behörde sowie etwaige spätere Änderungen in Bezug auf diese Behörde mit.

(3)   Die Mitgliedstaaten können ihrer zuständigen Behörde gestatten, Aufgaben, die ihr in dieser Verordnung übertragen wurden, an andere nationale Behörden zu delegieren, mit Ausnahme der in Artikel 5 aufgeführten Aufgaben. Jede zuständige Behörde überwacht die Anwendung dieser Verordnung durch die Behörden, an die sie Aufgaben delegiert hat. Die zuständige Behörde teilt der Kommission, der ACER, der Koordinierungsgruppe „Strom“, der ENISA und der NIS-Kooperationsgruppe den Namen der Behörden, an die sie Aufgaben delegiert hat, deren Kontaktdaten, die ihnen übertragenen Aufgaben sowie etwaige spätere Änderungen mit.

(1)   Die ÜNB entwickeln in Zusammenarbeit mit der EU-VNBO Vorschläge für die Modalitäten oder Methoden gemäß Absatz 2 bzw. für Pläne gemäß Absatz 3.

(2)   Die folgenden Modalitäten oder Methoden und etwaige Änderungen dieser Modalitäten oder Methoden bedürfen der Genehmigung aller zuständigen Behörden:

(3)   Die Vorschläge für die regionalen Pläne zur Minderung des Cybersicherheitsrisikos gemäß Artikel 22 bedürfen der Genehmigung aller zuständigen Behörden der betreffenden Netzbetriebsregion.

(4)   Die Vorschläge für Modalitäten oder Methoden gemäß Absatz 2 bzw. für Pläne gemäß Absatz 3 müssen einen Vorschlag für den Zeitplan für ihre Umsetzung und eine Beschreibung ihrer erwarteten Auswirkungen auf die Ziele dieser Verordnung enthalten.

(5)   Die EU-VNBO kann den betreffenden ÜNB bis zu drei Wochen vor Ablauf der Frist für die Übermittlung des Vorschlags für Modalitäten, Methoden oder Pläne an die zuständigen Behörden eine mit Gründen versehene Stellungnahme übermitteln. Die für den Vorschlag für Modalitäten, Methoden oder Pläne zuständigen ÜNB berücksichtigen die mit Gründen versehene Stellungnahme der EU-VNBO, bevor sie den Vorschlag den zuständigen Behörden zur Genehmigung vorlegen. Wenn die ÜNB die Stellungnahme der EU-VNBO nicht berücksichtigen, begründen sie dies.

(6)   Bei der gemeinsamen Entwicklung von Modalitäten, Methoden und Plänen arbeiten die teilnehmenden ÜNB eng zusammen. Die ÜNB unterrichten die zuständigen Behörden und die ACER mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO regelmäßig über die Fortschritte bei der Entwicklung der Modalitäten, Methoden oder Pläne.

(1)   Können ÜNB bei der Entscheidung über Vorschläge für Modalitäten oder Methoden keine Einigung erzielen, so entscheiden sie mit qualifizierter Mehrheit. Die qualifizierte Mehrheit für diese Vorschläge wird wie folgt berechnet:

(2)   Eine Sperrminorität bei Entscheidungen über Vorschläge für in Artikel 6 Absatz 2 aufgeführte Modalitäten oder Methoden ist mit ÜNB erreicht, die mindestens vier Mitgliedstaaten vertreten; andernfalls gilt die qualifizierte Mehrheit als erreicht.

(3)   Können ÜNB einer Netzbetriebsregion bei der Entscheidung über Vorschläge für die in Artikel 6 Absatz 2 genannten Pläne keine Einigung erzielen und besteht die betreffende Netzbetriebsregion aus mehr als fünf Mitgliedstaaten, so entscheiden die ÜNB mit qualifizierter Mehrheit. Bei Vorschlägen gemäß Artikel 6 Absatz 2 ist für eine qualifizierte Mehrheit folgende Mehrheit erforderlich:

(4)   Eine Sperrminorität für Entscheidungen über Vorschläge für die Pläne muss eine Mindestanzahl von ÜNB umfassen, die mehr als 35 % der Bevölkerung der teilnehmenden Mitgliedstaaten vertreten, zuzüglich ÜNB, die mindestens einen weiteren betroffenen Mitgliedstaat vertreten; ansonsten gilt die qualifizierte Mehrheit als erreicht.

(5)   Bei Entscheidungen der ÜNB über Vorschläge für in Artikel 6 Absatz 2 aufgeführte Modalitäten oder Methoden erhält jeder Mitgliedstaat eine Stimme. Gibt es im Hoheitsgebiet eines Mitgliedstaats mehr als einen ÜNB, teilt der Mitgliedstaat die Stimmrechte unter den ÜNB auf.

(6)   Legen ÜNB den jeweils zuständigen Behörden nicht innerhalb der in dieser Verordnung festgelegten Fristen in Zusammenarbeit mit der EU-VNBO einen ersten oder geänderten Vorschlag für Modalitäten oder Methoden oder für Pläne vor, so übermitteln sie den jeweils zuständigen Behörden und der ACER entsprechende Entwürfe der Modalitäten oder Methoden bzw. der Pläne. Sie erläutern, warum keine Einigung erzielt wurde. Die zuständigen Behörden treffen gemeinsam geeignete Maßnahmen für die Annahme der erforderlichen Modalitäten oder Methoden bzw. der erforderlichen Pläne. Dies kann z. B. durch Ersuchen um Änderungen der Entwürfe gemäß diesem Absatz, durch Überarbeitung und Vervollständigung dieser Entwürfe oder, falls keine Entwürfe vorgelegt wurden, durch Festlegung und Genehmigung der erforderlichen Modalitäten, Methoden oder Pläne erfolgen.

(1)   Die ÜNB legen den jeweils zuständigen Behörden innerhalb der in den Artikeln 18, 23, 29, 33, 34, 35 und 37 festgelegten Fristen die Vorschläge für Modalitäten oder Methoden bzw. für Pläne zur Genehmigung vor. Die zuständigen Behörden können diese Fristen in Ausnahmefällen gemeinsam verlängern, insbesondere wenn eine Frist aufgrund von Umständen außerhalb des Verantwortungsbereichs der ÜNB oder der EU-VNBO nicht eingehalten werden kann.

(2)   Vorschläge für Modalitäten, Methoden oder bzw. Pläne gemäß Absatz 1 werden zeitgleich mit der Übermittlung an die zuständigen Behörden auch der ACER zur Information vorgelegt.

(3)   Auf gemeinsames Ersuchen der NRB gibt die ACER innerhalb von sechs Monaten nach Eingang des Vorschlags für Modalitäten oder Methoden oder für die Pläne eine Stellungnahme zu dem Vorschlag ab und übermittelt sie den NRB und den zuständigen Behörden. Die NRB, die CS-NCA und alle anderen als zuständige Behörden benannten Behörden stimmen sich untereinander ab, bevor die NRB die ACER um eine Stellungnahme ersuchen. Die ACER kann in dieser Stellungnahme Empfehlungen abgeben. Die ACER konsultiert die ENISA, bevor sie eine Stellungnahme zu den in Artikel 6 Absatz 2 aufgeführten Vorschlägen abgibt.

(4)   Die zuständigen Behörden konsultieren einander, arbeiten eng zusammen und stimmen sich untereinander ab, um zu einer Einigung über die vorgeschlagenen Modalitäten, Methoden oder Pläne zu gelangen. Vor der Genehmigung der Modalitäten oder Methoden oder der Pläne überarbeiten und ergänzen sie die Vorschläge nach Konsultation von ENTSO-E und der EU-VNBO erforderlichenfalls, um sicherzustellen, dass die Vorschläge mit dieser Verordnung im Einklang stehen und zu einem hohen gemeinsamen Cybersicherheitsniveau in der gesamten Union beitragen.

(5)   Die zuständigen Behörden entscheiden über die Modalitäten oder Methoden oder die Pläne innerhalb von sechs Monaten nach Eingang der Modalitäten oder Methoden bzw. der Pläne bei der jeweils zuständigen Behörde oder gegebenenfalls bei der letzten betroffenen zuständigen Behörde.

(6)   Gibt die ACER eine Stellungnahme ab, so tragen die jeweils zuständigen Behörden dieser Stellungnahme Rechnung und treffen ihre Entscheidungen innerhalb von sechs Monaten nach Eingang der Stellungnahme.

(7)   Verlangen die zuständigen Behörden für ihre Genehmigung gemeinsam eine Änderung der vorgeschlagenen Modalitäten oder Methoden oder der Pläne, so entwickeln die ÜNB in Zusammenarbeit mit der EU-VNBO einen Vorschlag für eine solche Änderung der Modalitäten oder Methoden bzw. der Pläne. Die ÜNB legen den zuständigen Behörden den geänderten Vorschlag innerhalb von zwei Monaten nach deren Aufforderung zur Genehmigung vor. Die zuständigen Behörden entscheiden über die geänderten Modalitäten oder Methoden oder Pläne innerhalb von zwei Monaten nach deren Vorlage.

(8)   Konnten die zuständigen Behörden innerhalb der in Absatz 5 oder Absatz 7 genannten Frist keine Einigung erzielen, so unterrichten sie die Kommission. Die Kommission kann geeignete Maßnahmen ergreifen, um die Annahme der erforderlichen Modalitäten, Methoden oder Pläne zu ermöglichen.

(9)   Die ÜNB veröffentlichen mit Unterstützung von ENTSO-E und der EU-VNBO die Modalitäten oder Methoden oder die Pläne nach der Genehmigung durch die jeweils zuständigen Behörden auf ihren Websites, soweit diese Informationen nicht gemäß Artikel 47 als vertraulich betrachtet werden.

(10)   Die zuständigen Behörden können von den ÜNB und der EU-VNBO gemeinsam Vorschläge für Änderungen der genehmigten Modalitäten oder Methoden oder der genehmigten Pläne anfordern und eine Frist für die Einreichung dieser Vorschläge festlegen. Die ÜNB können den zuständigen Behörden in Zusammenarbeit mit der EU-VNBO auch auf eigene Initiative Änderungen vorschlagen. Die Vorschläge zur Änderung der Modalitäten oder Methoden bzw. zur Änderung der Pläne werden nach dem Verfahren dieses Artikels entwickelt und genehmigt.

(11)   Mindestens alle drei Jahre nach der ersten Annahme der jeweiligen Modalitäten oder Methoden bzw. der Annahme der jeweiligen Pläne überprüfen die ÜNB in Zusammenarbeit mit der EU-VNBO die Wirksamkeit der angenommenen Modalitäten oder Methoden bzw. der angenommenen Pläne und teilen den zuständigen Behörden und der ACER die Ergebnisse der Überprüfung unverzüglich mit.

(1)   Die ÜNB konsultieren mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO die Interessenträger, einschließlich der ACER, der ENISA und der zuständigen Behörde jedes Mitgliedstaats, zu den Entwürfen von Vorschlägen für die in Artikel 6 Absatz 2 genannten Modalitäten oder Methoden und für die in Artikel 6 Absatz 3 genannten Pläne. Die Konsultation dauert mindestens einen Monat.

(2)   Die in Artikel 6 Absatz 2 genannten Vorschläge für Modalitäten oder Methoden, die von den ÜNB in Zusammenarbeit mit der EU-VNBO vorgelegt wurden, werden veröffentlicht und auf Unionsebene einer Konsultation unterzogen. Die von den relevanten ÜNB in Zusammenarbeit mit der EU-VNBO auf regionaler Ebene vorgelegten Vorschläge für Pläne gemäß Artikel 6 Absatz 3 werden mindestens auf regionaler Ebene einer Konsultation unterzogen.

(3)   Die ÜNB, unterstützt von ENTSO-E, und die für den Vorschlag für Modalitäten, Methoden oder Pläne zuständige EU-VNBO tragen den in den gemäß Absatz 1 durchgeführten Konsultationen geäußerten Ansichten der Interessenträger, gebührend Rechnung, bevor sie die Vorschläge zur regulatorischen Genehmigung vorlegen. In allen Fällen ist zusammen mit dem Vorschlag eine fundierte Begründung vorzulegen, weshalb die aus der Konsultation hervorgegangenen Stellungnahmen berücksichtigt bzw. nicht berücksichtigt wurden, und rechtzeitig — vor oder gleichzeitig mit dem Vorschlag für Modalitäten oder Methoden — zu veröffentlichen.

(1)   Die Kosten, die aufgrund der Verpflichtungen aus dieser Verordnung bei ÜNB und VNB anfallen, die der Netzentgeltregulierung unterliegen, einschließlich der Kosten von ENTSO-E und der EU-VNBO, werden von der zuständigen NRB jedes Mitgliedstaats geprüft.

(2)   Als angemessen, effizient und verhältnismäßig bewertete Kosten werden durch Netzentgelte oder andere geeignete Mechanismen gedeckt, die von der zuständigen NRB festgelegt werden.

(3)   Auf Verlangen der zuständigen NRB stellen die in Absatz 1 genannten ÜNB und VNB innerhalb einer von der NRB festgelegten angemessenen Frist die erforderlichen Informationen bereit, um die Prüfung der entstandenen Kosten zu erleichtern.

(1)   Die ACER überwacht die Durchführung dieser Verordnung gemäß Artikel 32 Absatz 1 der Verordnung (EU) 2019/943 und Artikel 4 Absatz 2 der Verordnung (EU) 2019/942. Bei der Durchführung der Überwachung kann die ACER mit der ENISA zusammenarbeiten und ENTSO-E und die EU-VNBO um Unterstützung ersuchen. Die ACER unterrichtet die Koordinierungsgruppe „Strom“ und die NIS-Kooperationsgruppe regelmäßig über die Durchführung dieser Verordnung.

(2)   Die ACER veröffentlicht nach dem Inkrafttreten dieser Verordnung mindestens alle drei Jahre einen Bericht, um

(3)   Bis zum 13 Juni 2025 kann die ACER in Zusammenarbeit mit der ENISA und nach Konsultation von ENTSO-E und der EU-VNBO auf der Grundlage der gemäß Absatz 5 festgelegten Leistungsindikatoren Leitlinien zu den relevanten Informationen, die der ACER zu Überwachungszwecken zu übermitteln sind, sowie zu dem Verfahren und der Häufigkeit der Einholung der Informationen vorlegen.

(4)   Die zuständigen Behörden können Zugang zu den einschlägigen Informationen erhalten, die sich im Besitz der ACER befinden und gemäß diesem Artikel erhoben wurden.

(5)   Die ACER legt in Zusammenarbeit mit der ENISA und mit Unterstützung von ENTSO-E und der EU-VNBO in Bezug auf Cybersicherheitsaspekte grenzüberschreitender Stromflüsse unverbindliche Leistungsindikatoren für die Bewertung der betrieblichen Zuverlässigkeit vor.

(6)   Die in Artikel 2 Absatz 1 dieser Verordnung aufgeführten Einrichtungen übermitteln der ACER die Informationen, die diese zur Wahrnehmung der in Absatz 2 genannten Aufgaben benötigt.

(1)   Bis zum 13 Juni 2025 erstellt die ACER in Zusammenarbeit mit der ENISA einen unverbindlichen Leitfaden für das Benchmarking im Bereich der Cybersicherheit. In dem Leitfaden für die NRB werden die Grundsätze des Benchmarkings der durchgeführten Cybersicherheitskontrollen gemäß Absatz 2 erläutert, wobei die Kosten für die Durchführung der Kontrollen und die Wirksamkeit von Prozessen, Produkten, Diensten, Systemen und Lösungen, die zur Durchführung dieser Kontrollen genutzt werden, zu berücksichtigen sind. Die ACER berücksichtigt bei der Erstellung des unverbindlichen Leitfadens für das Benchmarking im Bereich der Cybersicherheit vorhandene Benchmarking-Berichte. Die ACER übermittelt den unverbindlichen Leitfaden für das Benchmarking im Bereich der Cybersicherheit den NRB zur Information.

(2)   Innerhalb von 12 Monaten nach Erstellung des Benchmarking-Leitfadens gemäß Absatz 1 führen die NRB eine Benchmarking-Analyse durch, um zu bewerten, ob die aktuellen Investitionen in die Cybersicherheit

(3)   Bei der Benchmarking-Analyse können die NRB den von der ACER erstellten unverbindlichen Leitfaden für das Benchmarking im Bereich der Cybersicherheit berücksichtigen, wobei sie insbesondere Folgendes bewerten:

(4)   Alle Informationen zu Benchmarking-Analysen werden gemäß den Anforderungen dieser Verordnung an die Datenklassifizierung, die Mindest-Cybersicherheitskontrollen und den Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse gehandhabt und verarbeitet. Die in den Absätzen 2 und 3 genannte Benchmarking-Analyse wird nicht veröffentlicht.

(5)   Unbeschadet der Vertraulichkeitsbestimmungen in Artikel 47 und der Notwendigkeit, die Sicherheit von Einrichtungen zu schützen, die den Bestimmungen dieser Verordnung unterliegen, wird die in den Absätzen 2 und 3 dieses Artikels genannte Benchmarking-Analyse allen NRB, allen zuständigen Behörden, der ACER, der ENISA und der Kommission übermittelt.

(1)   Innerhalb von 18 Monaten nach dem Inkrafttreten dieser Verordnung bemühen sich die ÜNB einer Netzbetriebsregion, die an ein Drittland angrenzt, um den Abschluss von Vereinbarungen mit ÜNB des benachbarten Drittlands, die mit dem einschlägigen Unionsrecht im Einklang stehen, die Grundlage für die Zusammenarbeit zum Cybersicherheitsschutz bilden und Regelungen für die Zusammenarbeit mit diesen ÜNB im Bereich der Cybersicherheit enthalten.

(2)   Die ÜNB unterrichten die zuständige Behörde über die gemäß Absatz 1 geschlossenen Vereinbarungen.

(1)   Einrichtungen, die keine Niederlassung in der Union haben, aber Dienstleistungen für Einrichtungen in der Union erbringen und gemäß Artikel 24 Absatz 6 über ihren Status als Einrichtungen mit erheblichen oder kritischen Auswirkungen unterrichtet wurden, benennen innerhalb von drei Monaten nach der Unterrichtung schriftlich einen Vertreter in der Union und informieren die zuständige Behörde entsprechend.

(2)   Dieser Vertreter wird beauftragt, zusätzlich zu oder anstelle der Einrichtung mit erheblichen oder kritischen Auswirkungen als Ansprechpartner zu fungieren, an den sich jede zuständige Behörde und jedes CSIRT in der Union in Bezug auf die Verpflichtungen der Einrichtung aus dieser Verordnung wenden kann. Die Einrichtung mit erheblichen oder kritischen Auswirkungen stattet ihren gesetzlichen Vertreter mit den erforderlichen Befugnissen und ausreichenden Ressourcen aus, um eine effiziente und rechtzeitige Zusammenarbeit mit den jeweils zuständigen Behörden oder CSIRTs zu gewährleisten.

(3)   Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die Einrichtung ihre Dienste anbietet. Die Einrichtung gilt als der gerichtlichen Zuständigkeit des Mitgliedstaats unterliegend, in dem der Vertreter niedergelassen ist. Einrichtungen mit erheblichen oder kritischen Auswirkungen melden der zuständigen Behörde des Mitgliedstaats, in dem ihr gesetzlicher Vertreter ansässig oder niedergelassen ist, den Namen, die Postanschrift, die E-Mail-Adresse und die Telefonnummer des gesetzlichen Vertreters.

(4)   Der benannte gesetzliche Vertreter kann für Verstöße gegen Pflichten aus dieser Verordnung haftbar gemacht werden; dies berührt nicht die Haftung und die rechtlichen Schritte, die gegen die Einrichtung mit erheblichen oder kritischen Auswirkungen eingeleitet werden können.

(5)   Wurde in der Union kein Vertreter im Sinne dieses Artikels benannt, kann jeder Mitgliedstaat, in dem die Einrichtung Dienstleistungen erbringt, gegen die Einrichtung rechtliche Schritte wegen Verstößen gegen Pflichten aus dieser Verordnung einleiten.

(6)   Die Benennung eines gesetzlichen Vertreters in der Union gemäß Absatz 1 gilt nicht als Niederlassung in der Union.

(1)   ENTSO-E und die EU-VNBO arbeiten bei der Durchführung der Bewertungen des Cybersicherheitsrisikos gemäß Artikel 19 und Artikel 21 zusammen, insbesondere bei den folgenden Aufgaben:

(2)   Die Zusammenarbeit zwischen ENTSO-E und der EU-VNBO kann über eine Arbeitsgruppe für Cybersicherheitsrisiken erfolgen.

(3)   ENTSO-E und die EU-VNBO unterrichten die ACER, die ENISA, die NIS-Kooperationsgruppe und die Koordinierungsgruppe „Strom“ regelmäßig über die Fortschritte bei der Umsetzung der unionsweiten und regionalen Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 und Artikel 21.

(1)   Bis zum 13 März 2025 legen die ÜNB mit Unterstützung von ENTSO-E sowie in Zusammenarbeit mit der EU-VNBO und nach Konsultation der NIS-Kooperationsgruppe einen Vorschlag für die Methoden zur Bewertung des Cybersicherheitsrisikos auf Unionsebene, auf regionaler Ebene und auf der Ebene der Mitgliedstaaten vor.

(2)   Die Methoden zur Bewertung des Cybersicherheitsrisikos auf Unionsebene, auf regionaler Ebene und auf der Ebene der Mitgliedstaaten müssen Folgendes umfassen:

(3)   Die Methoden zur Bewertung des Cybersicherheitsrisikos auf Unionsebene, auf regionaler Ebene und auf der Ebene der Mitgliedstaaten müssen dieselbe Risiko-Auswirkungs-Matrix umfassen. Mit der Risiko-Auswirkungs-Matrix

(4)   In den Methoden zur Bewertung des Cybersicherheitsrisikos auf Unionsebene wird beschrieben, wie die ECII-Schwellenwerte für erhebliche und kritische Auswirkungen bestimmt werden. Der ECII muss es den Einrichtungen ermöglichen, im Rahmen der von ihnen gemäß Artikel 26 Absatz 4 Buchstabe c Ziffer i durchgeführten Folgenabschätzungen die Auswirkungen der Risiken auf ihre Geschäftsprozesse mithilfe der in Absatz 2 Buchstabe b genannten Kriterien abzuschätzen.

(5)   ENTSO-E unterrichtet die Koordinierungsgruppe „Strom“ in Abstimmung mit der EU-VNBO über die Vorschläge für die gemäß Absatz 1 zu entwickelnden Methoden zur Bewertung des Cybersicherheitsrisikos.

(1)   Innerhalb von neun Monaten nach der Genehmigung der Methoden zur Bewertung des Cybersicherheitsrisikos gemäß Artikel 8 und danach alle drei Jahre führt ENTSO-E in Zusammenarbeit mit der EU-VNBO und in Absprache mit der NIS-Kooperationsgruppe unbeschadet des Artikels 22 der Richtlinie (EU) 2022/2555 eine unionsweite Bewertung des Cybersicherheitsrisikos durch und erstellt einen Entwurf eines Berichts über die unionsweite Bewertung des Cybersicherheitsrisikos. Dabei wenden sie die gemäß Artikel 18 entwickelten und gemäß Artikel 8 genehmigten Methoden an, um die möglichen Folgen von Cyberangriffen, die sich auf die Betriebssicherheit des Elektrizitätssystems auswirken und grenzüberschreitende Stromflüsse stören, zu ermitteln, zu analysieren und zu bewerten. Bei der unionsweiten Bewertung des Cybersicherheitsrisikos werden die mit Cyberangriffen verbundenen rechtlichen und finanziellen Schäden sowie Rufschädigungen nicht berücksichtigt.

(2)   Der Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos muss Folgendes enthalten:

(3)   In Bezug auf die unionsweiten Prozesse mit erheblichen oder kritischen Auswirkungen muss der Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos Folgendes enthalten:

(4)   ENTSO-E legt der ACER in Zusammenarbeit mit der EU-VNBO den Entwurf des Berichts über die unionsweite Bewertung des Cybersicherheitsrisikos mit den Ergebnissen der unionsweiten Bewertung des Cybersicherheitsrisikos zur Stellungnahme vor. Die ACER gibt innerhalb von drei Monaten nach Eingang eine Stellungnahme zu dem Entwurf des Berichts ab. ENTSO-E und die EU-VNBO tragen der Stellungnahme der ACER bei der Fertigstellung dieses Berichts so weit wie möglich Rechnung.

(5)   Innerhalb von drei Monaten nach Eingang der Stellungnahme der ACER übermittelt ENTSO-E in Zusammenarbeit mit der EU-VNBO der ACER, der Kommission, der ENISA und den zuständigen Behörden den endgültigen Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos.

(1)   Jede zuständige Behörde führt in Bezug auf alle Einrichtungen mit erheblichen oder kritischen Auswirkungen in ihrem Mitgliedstaat eine Bewertung des Cybersicherheitsrisikos des Mitgliedstaats durch und nutzt dabei die gemäß Artikel 18 entwickelten und gemäß Artikel 8 genehmigten Methoden. Bei der Bewertung des Cybersicherheitsrisikos der Mitgliedstaaten werden die Risiken von Cyberangriffen ermittelt und analysiert, die die Betriebssicherheit des Elektrizitätssystems beeinträchtigen und grenzüberschreitende Stromflüsse stören. Bei der Bewertung des Cybersicherheitsrisikos der Mitgliedstaaten werden die mit Cyberangriffen verbundenen rechtlichen und finanziellen Schäden sowie Rufschädigungen nicht berücksichtigt.

(2)   Innerhalb von 21 Monaten nach der Unterrichtung der Einrichtungen mit erheblichen oder kritischen Auswirkungen gemäß Artikel 24 Absatz 6 und danach alle drei Jahre übermittelt jede zuständige Behörde mit Unterstützung des CSIRT und nach Konsultation der für Elektrizität zuständigen CS-NCA dem ENTSO-E und der EU-VNBO einen Bericht über die Bewertung des Cybersicherheitsrisikos des Mitgliedstaats, der in Bezug auf jeden Geschäftsprozess mit erheblichen oder kritischen Auswirkungen folgende Informationen enthält:

(3)   Der Bericht über die Bewertung des Cybersicherheitsrisikos des Mitgliedstaats muss dem gemäß Artikel 10 der Verordnung (EU) 2019/941 erstellten Risikovorsorgeplan des Mitgliedstaats Rechnung tragen.

(4)   Die Informationen in dem Bericht über die Bewertung des Cybersicherheitsrisikos des Mitgliedstaats gemäß Absatz 2 Buchstaben a bis d dürfen nicht mit bestimmten Einrichtungen oder Vermögenswerten verknüpft sein. In dem Bericht über die Bewertung des Cybersicherheitsrisikos des Mitgliedstaats sind auch die Risiken im Zusammenhang mit den von den zuständigen Behörden der Mitgliedstaaten gemäß Artikel 30 gewährten befristeten Ausnahmen zu bewerten.

(5)   ENTSO-E und die EU-VNBO können im Zusammenhang mit den in Unterabsatz 2 Buchstaben a und c genannten Aufgaben die zuständigen Behörden um zusätzliche Informationen ersuchen.

(6)   Die zuständigen Behörden stellen sicher, dass die von ihnen bereitgestellten Informationen genau und zutreffend sind.

(1)   ENTSO-E führt in Zusammenarbeit mit der EU-VNBO und in Absprache mit dem zuständigen regionalen Koordinierungszentrum für jede Netzbetriebsregion eine regionale Bewertung des Cybersicherheitsrisikos durch und nutzt dabei die gemäß Artikel 19 entwickelten und gemäß Artikel 8 genehmigten Methoden, um die Risiken von Cyberangriffen, die die Betriebssicherheit des Elektrizitätssystems beeinträchtigen und grenzüberschreitende Stromflüsse stören, zu ermitteln, zu analysieren und zu bewerten. Bei der regionalen Bewertung des Cybersicherheitsrisikos werden die mit Cyberangriffen verbundenen rechtlichen und finanziellen Schäden sowie Rufschädigungen nicht berücksichtigt.

(2)   Innerhalb von 30 Monaten nach der Unterrichtung der Einrichtungen mit erheblichen oder kritischen Auswirkungen gemäß Artikel 24 Absatz 6 und danach alle drei Jahre erstellt ENTSO-E in Zusammenarbeit mit der EU-VNBO und in Absprache mit der NIS-Kooperationsgruppe für jede Netzbetriebsregion einen Bericht über die regionale Bewertung des Cybersicherheitsrisikos.

(3)   Der Bericht über die regionale Bewertung des Cybersicherheitsrisikos muss den einschlägigen Informationen Rechnung tragen, die in den Berichten über die unionsweite Bewertung des Cybersicherheitsrisikos und in den Berichten der Mitgliedstaaten über die Bewertung des Cybersicherheitsrisikos enthalten sind.

(4)   Bei der regionalen Bewertung des Cybersicherheitsrisikos werden die gemäß Artikel 6 der Verordnung (EU) 2019/941 bestimmten regionalen Szenarien für Stromversorgungskrisen im Bereich der Cybersicherheit berücksichtigt.

(1)   Innerhalb von 36 Monaten nach Unterrichtung der Einrichtungen mit erheblichen oder kritischen Auswirkungen gemäß Artikel 24 Absatz 6, spätestens jedoch am 13 Juni 2031, und danach alle drei Jahre erstellen die ÜNB mit Unterstützung von ENTSO-E sowie in Zusammenarbeit mit der EU-VNBO und in Absprache mit den regionalen Koordinierungszentren und der NIS-Kooperationsgruppe für jede Netzbetriebsregion einen regionalen Plan zur Minderung des Cybersicherheitsrisikos.

(2)   Die regionalen Pläne zur Minderung des Cybersicherheitsrisikos müssen Folgendes enthalten:

(3)   ENTSO-E legt die regionalen Pläne zur Minderung des Cybersicherheitsrisikos den relevanten Übertragungsnetzbetreibern, den zuständigen Behörden und der Koordinierungsgruppe „Strom“ vor. Die Koordinierungsgruppe „Strom“ kann Änderungen empfehlen.

(4)   Die ÜNB aktualisieren mit Unterstützung von ENTSO-E sowie in Zusammenarbeit mit der EU-VNBO und in Absprache mit der NIS-Kooperationsgruppe die regionalen Risikominderungspläne alle drei Jahre, soweit aufgrund der Umstände keine häufigere Aktualisierung erforderlich ist.

(1)   Innerhalb von 40 Monaten nach Unterrichtung der Einrichtungen mit erheblichen oder kritischen Auswirkungen gemäß Artikel 24 Absatz 6 und danach alle drei Jahre übermitteln die ÜNB mit Unterstützung von ENTSO-E sowie in Zusammenarbeit mit der EU-VNBO und in Absprache mit der NIS-Kooperationsgruppe der Koordinierungsgruppe „Strom“ einen Bericht über die Ergebnisse der Bewertung der Cybersicherheitsrisiken in Bezug auf grenzüberschreitende Stromflüsse (im Folgenden „umfassender Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse“).

(2)   Der umfassende Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse stützt sich auf den Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos, die Berichte der Mitgliedstaaten über die Bewertung des Cybersicherheitsrisikos und die Berichte über die regionale Bewertung des Cybersicherheitsrisikos und muss folgende Informationen enthalten:

(3)   Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen können zur Ausarbeitung des umfassenden Berichts über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse beitragen, wobei sie die Vertraulichkeit der Informationen gemäß Artikel 47 wahren müssen. Die ÜNB konsultieren diese Einrichtungen mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO frühzeitig.

(4)   Der umfassende Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse unterliegt den Bestimmungen des Artikels 46 über den Schutz ausgetauschter Informationen. Unbeschadet des Artikels 10 Absatz 4 und des Artikels 47 Absatz 4 veröffentlichen ENTSO-E und die EU-VNBO eine öffentliche Fassung dieses Berichts, die keine Informationen enthält, die den in Artikel 2 Absatz 1 aufgeführten Einrichtungen schaden können. Die öffentliche Fassung dieses Berichts wird nur mit Zustimmung der NIS-Kooperationsgruppe und der Koordinierungsgruppe „Strom“ veröffentlicht. ENTSO-E ist in Abstimmung mit der EU-VNBO für die Zusammenstellung und Veröffentlichung der öffentlichen Fassung des Berichts verantwortlich.

(1)   Jede zuständige Behörde ermittelt anhand des ECII und der Schwellenwerte für erhebliche und kritische Auswirkungen, die im Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 3 Buchstabe b enthalten sind, die Einrichtungen mit erheblichen oder kritischen Auswirkungen in ihrem Mitgliedstaat, die an unionsweiten Prozessen mit erheblichen bzw. kritischen Auswirkungen beteiligt sind. Die zuständigen Behörden können von einer Einrichtung in ihrem Mitgliedstaat Informationen anfordern, um die ECII-Werte für diese Einrichtung zu bestimmen. Liegt der ermittelte ECII einer Einrichtung über dem Schwellenwert für erhebliche oder kritische Auswirkungen, wird die ermittelte Einrichtung in dem in Artikel 20 Absatz 2 genannten Bericht über die Bewertung des Cybersicherheitsrisikos des Mitgliedstaats aufgeführt.

(2)   Jede zuständige Behörde ermittelt anhand des ECII und der Schwellenwerte für erhebliche und kritische Auswirkungen aus dem Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 3 Buchstabe b die nicht in der Union niedergelassenen Einrichtungen mit erheblichen oder kritischen Auswirkungen, soweit sie in der Union tätig sind. Die zuständige Behörde kann von einer nicht in der Union niedergelassenen Einrichtung Informationen anfordern, um die ECII-Werte für die Einrichtung zu bestimmen.

(3)   Jede zuständige Behörde kann weitere Einrichtungen in ihrem Mitgliedstaat als Einrichtungen mit erheblichen oder kritischen Auswirkungen einstufen, wenn die folgenden Kriterien erfüllt sind:

(4)   Ermittelt eine zuständige Behörde gemäß Absatz 3 zusätzliche Einrichtungen, so gelten alle Prozesse dieser Einrichtungen, deren über die Gruppe aggregierter ECII über dem Schwellenwert für erhebliche Auswirkungen liegt, als Prozesse mit erheblichen Auswirkungen, und alle Prozesse, deren über die Gruppe aggregierter ECII über den Schwellenwerten für kritische Auswirkungen liegt, gelten als Prozesse mit kritischen Auswirkungen.

(5)   Ermittelt eine zuständige Behörde Einrichtungen gemäß Absatz 3 Buchstabe a in mehr als einem Mitgliedstaat, so unterrichtet sie die anderen zuständigen Behörden, ENTSO-E und die EU-VNBO. ENTSO-E übermittelt den zuständigen Behörden in Zusammenarbeit mit der EU-VNBO auf der Grundlage der von allen zuständigen Behörden übermittelten Informationen eine Analyse der Aggregierung von Einrichtungen in mehr als einem Mitgliedstaat, die zu einer von verschiedenen Punkten ausgehenden Störung der grenzüberschreitenden Stromflüsse führen und einen Cyberangriff nach sich ziehen können. Wird eine Gruppe von Einrichtungen in mehreren Mitgliedstaaten als Aggregierung ermittelt, deren ECII über dem Schwellenwert für erhebliche oder kritische Auswirkungen liegt, so stufen alle betroffenen zuständigen Behörden die Einrichtungen in dieser Gruppe für ihren jeweiligen Mitgliedstaat auf der Grundlage des aggregierten ECII für die Gruppe der Einrichtungen als Einrichtungen mit erheblichen bzw. kritischen Auswirkungen ein, und die ermittelten Einrichtungen werden in den Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos aufgenommen.

(6)   Jede zuständige Behörde unterrichtet innerhalb von neun Monaten, nachdem ENTSO-E und die EU-VNBO den Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 5 übermittelt haben, spätestens jedoch bis zum 13 Juni 2028, die in der Liste aufgeführten Einrichtungen, dass sie in ihrem Mitgliedstaat als Einrichtungen mit erheblichen oder kritischen Auswirkungen eingestuft wurden.

(7)   Wird einer zuständigen Behörde ein Diensteanbieter als Anbieter kritischer IKT-Dienste gemäß Artikel 27 Buchstabe c gemeldet, so teilt sie dies den zuständigen Behörden der Mitgliedstaaten mit, in deren Hoheitsgebiet sich der Sitz oder der Vertreter befindet. Die letztgenannte zuständige Behörde teilt dem Diensteanbieter mit, dass er als Anbieter kritischer Dienste eingestuft wurde.

(1)   Die zuständigen Behörden können ein nationales Überprüfungssystem einrichten, um zu überprüfen, ob die gemäß Artikel 24 Absatz 1 ermittelten Einrichtungen mit kritischen Auswirkungen den nationalen Rechtsrahmen umgesetzt haben, der in der Vergleichsmatrix gemäß Artikel 34 aufgeführt ist. Das nationale Überprüfungssystem kann sich auf eine von der zuständigen Behörde durchgeführte Inspektion, unabhängige Sicherheitsaudits oder gegenseitige Peer Reviews durch Einrichtungen mit kritischen Auswirkungen in demselben Mitgliedstaat, die von der zuständigen Behörde beaufsichtigt werden, stützen.

(2)   Beschließt eine zuständige Behörde, ein nationales Überprüfungssystem einzurichten, so stellt sie sicher, dass die Überprüfung nach den folgenden Anforderungen durchgeführt wird:

(3)   Beschließt eine zuständige Behörde, ein nationales Überprüfungssystem einzurichten, so teilt sie der ACER jährlich mit, wie oft sie Inspektionen im Rahmen dieses Systems durchgeführt hat.

(1)   Jede von den zuständigen Behörden gemäß Artikel 24 Absatz 1 ermittelte Einrichtung mit erheblichen oder kritischen Auswirkungen führt das Cybersicherheitsrisikomanagement für alle ihre Vermögenswerte in ihren Perimetern mit erheblichen oder kritischen Auswirkungen durch. Jede Einrichtung mit erheblichen oder kritischen Auswirkungen führt alle drei Jahre ein Risikomanagement durch, das die in Absatz 2 genannten Phasen umfasst.

(2)   Jede Einrichtung mit erheblichen oder kritischen Auswirkungen stützt ihr Cybersicherheitsrisikomanagement auf einen Ansatz, der auf den Schutz ihrer Netz- und Informationssysteme abzielt und folgende Phasen umfasst:

(3)   Bei der Bestimmung des Kontexts trifft jede Einrichtung mit erheblichen oder kritischen Auswirkungen folgende Maßnahmen:

(4)   Bei der Bewertung des Cybersicherheitsrisikos muss jede Einrichtung mit erheblichen oder kritischen Auswirkungen

(5)   Bei der Behandlung des Cybersicherheitsrisikos erstellt jede Einrichtung mit erheblichen oder kritischen Auswirkungen einen Risikominderungsplan auf Ebene der Einrichtung, wobei sie geeignete Optionen für die Behandlung des Risikos wählt, um die Risiken zu bewältigen und das Restrisiko zu bestimmen.

(6)   Bei der Akzeptanz von Cybersicherheitsrisiken entscheidet jede Einrichtung mit erheblichen oder kritischen Auswirkungen auf der Grundlage der in Absatz 3 Buchstabe b festgelegten Risikoakzeptanzkriterien, ob sie das Restrisiko akzeptiert.

(7)   Jede Einrichtung mit erheblichen oder kritischen Auswirkungen erfasst die in Absatz 1 genannten Vermögenswerte in einem Vermögensinventar. Dieses Vermögensinventar ist nicht Teil des Berichts über die Risikobewertung.

(8)   Die zuständige Behörde kann die im Vermögensinventar enthaltenen Vermögenswerte während der Inspektionen einsehen.

(1)   Der gemeinsame Rahmen für die Cybersicherheit im Elektrizitätssektor umfasst die folgenden Kontrollen und Systeme für das Cybersicherheitsmanagement:

(2)   Alle Einrichtungen mit erheblichen Auswirkungen wenden die Mindest-Cybersicherheitskontrollen gemäß Absatz 1 Buchstabe a innerhalb ihres Perimeters mit erheblichen Auswirkungen an.

(3)   Alle Einrichtungen mit kritischen Auswirkungen wenden die erweiterten Cybersicherheitskontrollen gemäß Absatz 1 Buchstabe b innerhalb ihres Perimeters mit kritischen Auswirkungen an.

(4)   Innerhalb von sieben Monaten nach Vorlage des ersten Entwurfs des Berichts über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 4 wird der in Absatz 1 genannte gemeinsame Rahmen für die Cybersicherheit im Elektrizitätssektor durch die gemäß Artikel 33 entwickelten Mindest-Cybersicherheitskontrollen und erweiterten Cybersicherheitskontrollen in der Lieferkette ergänzt.

(1)   Innerhalb von sieben Monaten nach Vorlage des ersten Entwurfs des Berichts über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 4 erarbeiten die ÜNB mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO einen Vorschlag für Mindest-Cybersicherheitskontrollen und erweiterte Cybersicherheitskontrollen.

(2)   Innerhalb von sechs Monaten nach Erstellung jedes Berichts über die regionale Bewertung des Cybersicherheitsrisikos gemäß Artikel 21 Absatz 2 schlagen die ÜNB mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO der zuständigen Behörde eine Änderung der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskontrollen vor. Der Vorschlag wird im Einklang mit Artikel 8 Absatz 10 vorgelegt und muss den in der regionalen Risikobewertung ermittelten Risiken Rechnung tragen.

(3)   Die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen müssen überprüft werden können; dazu werden sie entweder im Einklang mit dem Verfahren gemäß Artikel 31 in ein nationales Überprüfungssystem einbezogen oder Sicherheitsaudits durch unabhängige Dritte gemäß den in Artikel 25 Absatz 2 aufgeführten Anforderungen unterzogen.

(4)   Die gemäß Absatz 1 entwickelten anfänglichen Mindest-Cybersicherheitskontrollen und erweiterten Cybersicherheitskontrollen müssen auf den Risiken beruhen, die in dem Bericht über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 5 ermittelt wurden. Die gemäß Absatz 2 entwickelten geänderten Mindest-Cybersicherheitskontrollen und erweiterten Cybersicherheitskontrollen müssen auf dem in Artikel 21 Absatz 2 genannten Bericht über die regionale Bewertung des Cybersicherheitsrisikos beruhen.

(5)   Die Mindest-Cybersicherheitskontrollen müssen im Einklang mit Artikel 46 Kontrollen zum Schutz der ausgetauschten Informationen umfassen.

(6)   Innerhalb von 12 Monaten nach der Genehmigung der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskontrollen gemäß Artikel 8 Absatz 5 und nach jeder Aktualisierung gemäß Artikel 8 Absatz 10 wenden die in Artikel 2 Absatz 1 genannten Einrichtungen, die gemäß Artikel 24 als Einrichtungen mit erheblichen oder kritischen Auswirkungen eingestuft wurden, bei der Festlegung des Risikominderungsplans auf Ebene der Einrichtung gemäß Artikel 26 Absatz 5 innerhalb der Perimeter mit erheblichen Auswirkungen die Mindest-Cybersicherheitskontrollen und innerhalb der Perimeter mit kritischen Auswirkungen die erweiterten Cybersicherheitskontrollen an.

(1)   Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen können bei der jeweils zuständigen Behörde eine Ausnahme von ihrer Verpflichtung zur Anwendung der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskontrollen gemäß Artikel 29 Absatz 6 beantragen. Die zuständige Behörde kann eine solche Ausnahme aus folgenden Gründen gewähren:

(2)   Innerhalb von drei Monaten nach Eingang des in Absatz 1 genannten Antrags entscheidet jede zuständige Behörde, ob eine Ausnahme von den Mindest-Cybersicherheitskontrollen und den erweiterten Cybersicherheitskontrollen gewährt wird. Ausnahmen von den Mindest-Cybersicherheitskontrollen oder den erweiterten Cybersicherheitskontrollen werden für höchstens drei Jahre gewährt und können verlängert werden.

(3)   Aggregierte und anonymisierte Informationen zu den gewährten Ausnahmen werden dem umfassenden Bericht über die Bewertung des Cybersicherheitsrisikos für grenzüberschreitende Stromflüsse gemäß Artikel 23 als Anhang beigefügt. ENTSO-E und die EU-VNBO aktualisieren die Liste bei Bedarf gemeinsam.

(1)   Spätestens 24 Monate nach der Annahme der in Artikel 28 Absatz 1 Buchstaben a, b und c genannten Kontrollen und der Einrichtung des in Buchstabe d jenes Artikels genannten Cybersicherheitsmanagementsystems muss jede gemäß Artikel 24 Absatz 1 ermittelte Einrichtung mit kritischen Auswirkungen in der Lage sein, auf Verlangen der zuständigen Behörde nachzuweisen, dass sie das Cybersicherheitsmanagementsystem und die Mindest-Cybersicherheitskontrollen oder die erweiterten Cybersicherheitskontrollen anwendet.

(2)   Jede Einrichtung mit kritischen Auswirkungen muss die in Absatz 1 genannte Verpflichtung erfüllen, indem sie sich einem von unabhängigen Dritten durchgeführten Sicherheitsaudit gemäß den Anforderungen aus Artikel 25 Absatz 2 unterzieht oder sich an einem nationalen Überprüfungssystem gemäß Artikel 25 Absatz 1 beteiligt.

(3)   Die Überprüfung, ob eine Einrichtung mit kritischen Auswirkungen das Cybersicherheitsmanagementsystem und die Mindest-Cybersicherheitskontrollen oder die erweiterten Cybersicherheitskontrollen anwendet, erstreckt sich auf alle Vermögenswerte der Einrichtung mit kritischen Auswirkungen innerhalb ihres Perimeters mit kritischen Auswirkungen.

(4)   Die Überprüfung, ob eine Einrichtung mit kritischen Auswirkungen das Cybersicherheitsmanagementsystem und die Mindest-Cybersicherheitskontrollen oder die erweiterten Cybersicherheitskontrollen anwendet, wird regelmäßig wiederholt, nämlich spätestens 36 Monate nach Ende der ersten Überprüfung und alle drei Jahre danach.

(5)   Jede gemäß Artikel 24 ermittelte Einrichtung mit kritischen Auswirkungen muss die Einhaltung der in Artikel 28 Absatz 1 Buchstaben a, b und c genannten Kontrollen und die Einrichtung des unter Buchstabe d jenes Artikels genannten Cybersicherheitsmanagementsystems nachweisen, indem sie der zuständigen Behörde über das Ergebnis der Überprüfung der Einhaltung Bericht erstattet.

(1)   Innerhalb von 24 Monaten, nachdem sie von der zuständigen Behörde darüber unterrichtet wurde, dass sie gemäß Artikel 24 Absatz 6 als Einrichtung mit erheblichen oder kritischen Auswirkungen eingestuft wurde, richtet jede Einrichtung mit erheblichen oder kritischen Auswirkungen ein Cybersicherheitsmanagementsystem ein, das sie danach alle drei Jahre überprüft, um

(2)   Der Anwendungsbereich des Cybersicherheitsmanagementsystems der Einrichtung mit erheblichen oder kritischen Auswirkungen umfasst alle Vermögenswerte innerhalb ihres Perimeters mit erheblichen oder kritischen Auswirkungen.

(3)   Die zuständigen Behörden regen an, für die Sicherheit von Netz- und Informationssystemen relevante europäische oder internationaler Normen und Spezifikationen anzuwenden, ohne dabei die Nutzung einer bestimmten Technologie vorzuschreiben oder zu begünstigen.

(1)   Innerhalb von sieben Monaten nach Vorlage des ersten Entwurfs des Berichts über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 4 erarbeiten die ÜNB mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO einen Vorschlag für Mindest-Cybersicherheitskontrollen und erweiterte Cybersicherheitskontrollen in der Lieferkette, mit denen die in den unionsweiten Bewertungen des Cybersicherheitsrisikos ermittelten Risiken für die Lieferketten gemindert werden, um die gemäß Artikel 29 entwickelten Mindest-Cybersicherheitskontrollen und erweiterten Cybersicherheitskontrollen zu ergänzen. Die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen in der Lieferkette werden zusammen mit den Mindest-Cybersicherheitskontrollen und erweiterten Cybersicherheitskontrollen gemäß Artikel 29 entwickelt. Die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen in der Lieferkette erstrecken sich auf den gesamten Lebenszyklus aller IKT-Produkte, -Dienste und -Prozesse einer Einrichtung mit erheblichen oder kritischen Auswirkungen innerhalb ihrer Perimeter mit erheblichen oder kritischen Auswirkungen. Bei der Entwicklung des Vorschlags für Mindest-Cybersicherheitskontrollen und erweiterte Cybersicherheitskontrollen in der Lieferkette wird die NIS-Kooperationsgruppe konsultiert.

(2)   Die Mindest-Cybersicherheitskontrollen in der Lieferkette bestehen aus Kontrollen für Einrichtungen mit erheblichen oder kritischen Auswirkungen, die

(3)   Für die Cybersicherheitsspezifikationen in der in Absatz 2 Buchstabe a genannten Empfehlung zur Cybersicherheit bei der Auftragsvergabe wenden Einrichtungen mit erheblichen oder kritischen Auswirkungen im Einklang mit Artikel 35 Absatz 4 die Grundsätze der Auftragsvergabe aus der Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates (19) an oder legen ihre eigenen Spezifikationen auf der Grundlage der Ergebnisse der Bewertung des Cybersicherheitsrisikos auf der Ebene der Einrichtung fest.

(4)   Die erweiterten Cybersicherheitskontrollen in der Lieferkette müssen Kontrollen für Einrichtungen mit kritischen Auswirkungen umfassen, um bei der Auftragsvergabe zu überprüfen, ob IKT-Produkte, -Dienste und -Prozesse, die als Vermögenswerte mit kritischen Auswirkungen verwendet werden sollen, den Cybersicherheitsspezifikationen entsprechen. Das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess wird entweder durch ein europäisches Schema für die Cybersicherheitszertifizierung gemäß Artikel 31 oder mit von der Einrichtung ausgewählten und organisierten Überprüfungsmaßnahmen überprüft. Die Überprüfungsmaßnahmen müssen ausreichend gründlich und umfassend sein, um zu gewährleisten, dass das IKT-Produkt, der IKT-Dienst oder der IKT-Prozess genutzt werden kann, um die in der Risikobewertung auf Ebene der Einrichtung ermittelten Risiken zu mindern. Die Einrichtung mit kritischen Auswirkungen dokumentiert die Maßnahmen zur Verringerung der ermittelten Risiken.

(5)   Die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen in der Lieferkette gelten für die Beschaffung relevanter IKT-Produkte, -Dienste und -Prozesse. Die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen in der Lieferkette gelten für Einrichtungen, die gemäß Artikel 24 als Einrichtungen mit kritischen oder erheblichen Auswirkungen ermittelt wurden, bei der Auftragsvergabe ab sechs Monaten nach der Annahme oder Aktualisierung der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskontrollen gemäß Artikel 29.

(6)   Innerhalb von sechs Monaten nach Erstellung jedes Berichts über die regionale Bewertung des Cybersicherheitsrisikos gemäß Artikel 21 Absatz 2 schlagen die ÜNB mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO der zuständigen Behörde eine Änderung der Mindest-Cybersicherheitskontrollen und der erweiterten Cybersicherheitskontrollen in der Lieferkette vor. Der Vorschlag wird im Einklang mit Artikel 8 Absatz 10 vorgelegt und muss den in der regionalen Risikobewertung ermittelten Risiken Rechnung tragen.

(1)   Innerhalb von sieben Monaten nach Vorlage des ersten Entwurfs des Berichts über die unionsweite Bewertung des Cybersicherheitsrisikos gemäß Artikel 19 Absatz 4 erarbeiten die ÜNB mit Unterstützung von ENTSO-E sowie in Zusammenarbeit mit der EU-VNBO und in Absprache mit der ENISA einen Vorschlag für eine Matrix, mit der die Kontrollen gemäß Artikel 28 Absatz 1 Buchstaben a und b anhand ausgewählter europäischer und internationaler Normen sowie einschlägiger technischer Spezifikationen verglichen werden (im Folgenden „Vergleichsmatrix“). ENTSO-E und die EU-VNBO dokumentieren die Gleichwertigkeit der verschiedenen Kontrollen mit den in Artikel 28 Absatz 1 Buchstaben a und b genannten Kontrollen.

(2)   Die zuständigen Behörden können ENTSO-E und der EU-VNBO einen Vergleich der in Artikel 28 Absatz 1 Buchstaben a und b genannten Kontrollen mit dem entsprechenden nationalen Rechts- und Verwaltungsrahmen, einschließlich der einschlägigen nationalen Normen der Mitgliedstaaten gemäß Artikel 25 der Richtlinie (EU) 2022/2555, übermitteln. Stellt die zuständige Behörde eines Mitgliedstaats einen solchen Vergleich bereit, so integrieren ENTSO-E und die EU-VNBO diesen nationalen Vergleich in die Vergleichsmatrix.

(3)   Innerhalb von sechs Monaten nach Erstellung jedes Berichts über die regionale Bewertung des Cybersicherheitsrisikos gemäß Artikel 21 Absatz 2 schlagen die ÜNB mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO sowie in Absprache mit der ENISA der zuständigen Behörde eine Änderung der Vergleichsmatrix vor. Der Vorschlag wird im Einklang mit Artikel 8 Absatz 10 vorgelegt und muss den in der regionalen Risikobewertung ermittelten Risiken Rechnung tragen.

(1)   Die ÜNB entwickeln mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO in einem Arbeitsprogramm, das jedes Mal bei der Annahme eines Berichts über die regionale Bewertung des Cybersicherheitsrisikos erstellt und aktualisiert wird, eine Reihe von unverbindlichen Empfehlungen für die Cybersicherheit bei der Auftragsvergabe, die Einrichtungen mit erheblichen oder kritischen Auswirkungen als Grundlage für die Beschaffung von IKT-Produkten, -Diensten und -Prozessen in den Perimetern mit erheblichen oder kritischen Auswirkungen nutzen können. Dieses Arbeitsprogramm umfasst

(2)   ENTSO-E übermittelt der ACER in Zusammenarbeit mit der EU-VNBO innerhalb von sechs Monaten nach Annahme oder Aktualisierung des Berichts über die regionale Bewertung des Cybersicherheitsrisikos eine Zusammenfassung dieses Arbeitsprogramms.

(3)   Die ÜNB bemühen sich mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO sicherzustellen, dass die auf der Grundlage der einschlägigen regionalen Bewertung des Cybersicherheitsrisikos entwickelten unverbindlichen Empfehlungen für die Cybersicherheit bei der Auftragsvergabe in allen Netzbetriebsregionen ähnlich oder vergleichbar sind. Die Empfehlungen für die Cybersicherheit bei der Auftragsvergabe müssen mindestens die in Artikel 33 Absatz 2 Buchstabe a genannten Spezifikationen umfassen. Soweit möglich, werden die Spezifikationen aus europäischen und internationalen Normen ausgewählt.

(4)   Die ÜNB stellen mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO sicher, dass die Empfehlungen für die Cybersicherheit bei der Auftragsvergabe

(1)   Unbeschadet des Rahmens für die Schaffung europäischer Schemata für die Cybersicherheitszertifizierung gemäß Artikel 46 der Verordnung (EU) 2019/881 können die gemäß Artikel 35 entwickelten unverbindlichen Empfehlungen für die Cybersicherheit bei der Auftragsvergabe sektorspezifische Leitlinien für die Verwendung europäischer Schemata für die Cybersicherheitszertifizierung umfassen, wenn für eine von Einrichtungen mit kritischen Auswirkungen verwendete Art von IKT-Produkten, -Diensten oder -Prozessen ein geeignetes Schema zur Verfügung steht.

(2)   Die ÜNB arbeiten mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO eng mit der ENISA zusammen, um die sektorspezifischen Leitlinien bereitzustellen, die in den unverbindlichen Empfehlungen für die Cybersicherheit bei der Auftragsvergabe gemäß Absatz 1 enthalten sind.

(1)   Erhält eine zuständige Behörde Informationen über einen meldepflichtigen Cyberangriff,

(2)   Erhält ein CSIRT Kenntnis von einer aktiv ausgenutzten Schwachstelle ohne Patch, so

(3)   Erhält eine zuständige Behörde Kenntnis von einer aktiv ausgenutzten Schwachstelle ohne Patch, so

(4)   Erhält die zuständige Behörde Kenntnis von einer Schwachstelle ohne Patch, in Bezug auf die keine Beweise für eine aktive Ausnutzung vorliegen, stimmt sie sich unverzüglich mit dem CSIRT im Hinblick auf eine koordinierte Offenlegung von Schwachstellen gemäß Artikel 12 Absatz 1 der Richtlinie (EU) 2022/2555 ab.

(5)   Erhält ein CSIRT gemäß Artikel 38 Absatz 6 von einer oder mehreren Einrichtungen mit erheblichen oder kritischen Auswirkungen Informationen in Bezug auf Cyberbedrohungen, so leitet es diese oder andere Informationen, die für die Verhütung, Erkennung, Behandlung oder Minderung des damit verbundenen Risikos von Bedeutung sind, an die Einrichtungen mit kritischen oder erheblichen Auswirkungen in seinem Mitgliedstaat und gegebenenfalls an alle betroffenen CSIRTs und seine nationale zentralen Anlaufstelle unverzüglich, spätestens jedoch vier Stunden nach Eingang der Informationen, weiter.

(6)   Erhält eine zuständige Behörde von einer oder mehreren Einrichtungen mit erheblichen oder kritischen Auswirkungen Informationen über Cyberbedrohungen, so leitet sie diese Informationen für die Zwecke des Absatzes 5 an das CSIRT weiter.

(7)   Die zuständigen Behörden können die Zuständigkeiten nach den Absätzen 3 und 4 in Bezug auf eine oder mehrere Einrichtungen mit erheblichen oder kritischen Auswirkungen, die in mehr als einem Mitgliedstaat tätig sind, ganz oder teilweise an eine andere zuständige Behörde in einem dieser Mitgliedstaaten delegieren, sofern sich die betroffenen zuständigen Behörden darauf geeinigt haben.

(8)   Die ÜNB entwickeln mit Unterstützung von ENTSO-E und in Zusammenarbeit mit der EU-VNBO bis zum 13 Juni 2025 eine Klassifizierungsmethode für Cyberangriffe. Die ÜNB können mit Unterstützung von ENTSO-E und der EU-VNBO die zuständigen Behörden ersuchen, die ENISA und ihre für Cybersicherheit zuständigen Behörden zur Unterstützung bei der Entwicklung einer solchen Klassifizierungsskala zu konsultieren. Die Methode muss fünf Stufen für die Schwere eines Cyberangriffs enthalten, wobei „erheblich“ und „kritisch“ die höchsten Stufen darstellen. Die Klassifizierung muss sich auf die Bewertung der folgenden Parameter stützen:

(9)   Bis zum 13 Juni 2026 führt ENTSO-E in Zusammenarbeit mit der EU-VNBO eine Machbarkeitsstudie hinsichtlich der Möglichkeit durch, ein gemeinsames Instrument zu entwickeln, das es allen Einrichtungen ermöglicht, Informationen mit den zuständigen nationalen Behörden auszutauschen, und prüft die damit verbundenen finanziellen Kosten.

(10)   In der Machbarkeitsstudie wird die Möglichkeit geprüft, ein solches gemeinsames Instrument

(11)   In Zusammenarbeit mit der EU-VNBO

(12)   ENTSO-E kann in Zusammenarbeit mit der EU-VNBO Initiativen analysieren und unterstützen, die von Einrichtungen mit kritischen oder erheblichen Auswirkungen vorgeschlagen werden, um solche Instrumente für den Informationsaustausch zu bewerten und zu testen.

(1)   Jede Einrichtung mit erheblichen oder kritischen Auswirkungen

(2)   Die ENISA kann im Rahmen der in Artikel 6 Absatz 2 der Verordnung (EU) 2019/881 festgelegten Aufgabe unverbindliche Leitlinien für die Einrichtung solcher Kapazitäten oder die Vergabe von Unteraufträgen an MSSP für die Erbringung des Dienstes herausgeben.

(3)   Jede Einrichtung mit kritischen oder erheblichen Auswirkungen teilt ihren CSIRTs und der für sie zuständigen Behörde relevante Informationen im Zusammenhang mit einem meldepflichtigen Cyberangriff unverzüglich, spätestens jedoch vier Stunden, nachdem ihr bekannt wurde, dass der Sicherheitsvorfall meldepflichtig ist, mit.

(4)   Informationen im Zusammenhang mit einem Cyberangriff gelten als meldepflichtig, wenn der Cyberangriff bei der Bewertung durch die betroffene Einrichtung nach der Klassifizierungsmethode für Cyberangriffe gemäß Artikel 37 Absatz 8 als „erheblich“ bis „kritisch“ eingestuft wird. Die gemäß Absatz 1 Buchstabe c benannte zentrale Anlaufstelle auf Ebene der Einrichtung teilt die Einstufung des Sicherheitsvorfalls mit.

(5)   Übermitteln Einrichtungen mit kritischen oder erheblichen Auswirkungen relevante Informationen zu aktiv ausgenutzten Schwachstellen ohne Patch an ein CSIRT, so kann dieses diese Informationen an die für das CSIRT zuständige Behörde weiterleiten. Je nach Sensibilität der gemeldeten Informationen kann das CSIRT die Informationen aus triftigen cybersicherheitsbezogenen Gründen zurückhalten oder zeitverzögert übermitteln.

(6)   Jede Einrichtung mit kritischen oder erheblichen Auswirkungen stellt ihren CSIRTs unverzüglich alle Informationen im Zusammenhang mit einer meldepflichtigen Cyberbedrohung bereit, die grenzüberschreitende Auswirkungen haben könnte. Informationen im Zusammenhang mit einer Cyberbedrohung gelten als meldepflichtig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

(7)   Jede Einrichtung mit kritischen oder erheblichen Auswirkungen gibt beim Austausch von Informationen gemäß diesem Artikel an,

(8)   Meldet eine Einrichtung mit kritischen oder erheblichen Auswirkungen einen erheblichen Sicherheitsvorfall gemäß Artikel 23 der Richtlinie (EU) 2022/2555 und enthält die Meldung des Sicherheitsvorfalls nach dem genannten Artikel einschlägige Informationen gemäß Absatz 3 des vorliegenden Artikels, so gilt die Meldung der Einrichtung nach Artikel 23 Absatz 1 der genannten Richtlinie auch als Meldung von Informationen gemäß Absatz 3 des vorliegenden Artikels.

(9)   Jede Einrichtung mit kritischen oder erheblichen Auswirkungen erstattet der für sie zuständigen Behörde oder dem CSIRT Bericht, wobei sie klar angibt, welche Informationen nur an die zuständige Behörde oder das CSIRT übermittelt werden dürfen, wenn der Informationsaustausch die Quelle eines Cyberangriffs sein könnte. Jede Einrichtung mit kritischen oder erheblichen Auswirkungen hat das Recht, dem zuständigen CSIRT eine nichtvertrauliche Fassung der Informationen zur Verfügung zu stellen.

(1)   Einrichtungen mit erheblichen oder kritischen Auswirkungen entwickeln mit der erforderlichen Unterstützung der jeweils zuständigen Behörde, von ENTSO-E und der EU-VNBO die erforderlichen Kapazitäten für den Umgang mit entdeckten Cyberangriffen. Einrichtungen mit kritischen oder erheblichen Auswirkungen können von dem CSIRT unterstützt werden, das in ihrem jeweiligen Mitgliedstaat im Rahmen der den CSIRTs gemäß Artikel 11 Absatz 5 Buchstabe a der Richtlinie (EU) 2022/2555 übertragenen Aufgabe benannt wurde. Einrichtungen mit kritischen oder erheblichen Auswirkungen setzen wirksame Verfahren zur Ermittlung, Klassifizierung und Bewältigung von Cyberangriffen ein, die sich auf grenzüberschreitende Stromflüsse auswirken oder auswirken könnten, um deren Auswirkungen möglichst gering zu halten.

(2)   Hat ein Cyberangriff Auswirkungen auf grenzüberschreitende Stromflüsse, so arbeiten die zentralen Anlaufstellen auf Ebene der betroffenen Einrichtungen mit kritischen oder erheblichen Auswirkungen zusammen, um Informationen untereinander auszutauschen, wobei sie von der zuständigen Behörde des Mitgliedstaats, in dem der Cyberangriff zuerst gemeldet wurde, koordiniert werden.

(3)   Einrichtungen mit kritischen oder erheblichen Auswirkungen

(4)   Die in Absatz 1 aufgeführten Aufgaben können von den Mitgliedstaaten gemäß Artikel 37 Absatz 2 der Verordnung (EU) 2019/943 auch an die regionalen Koordinierungszentren delegiert werden.

(1)   Stellt die zuständige Behörde fest, dass eine Stromversorgungskrise im Zusammenhang mit einem Cyberangriff steht, der Auswirkungen auf mehr als einen Mitgliedstaat hat, setzen die zuständigen Behörden der betroffenen Mitgliedstaaten, die CS-NCA, die RP-NCA und die NIS-Behörden für das Cyberkrisenmanagement der betroffenen Mitgliedstaaten gemeinsam eine Ad-hoc-Koordinierungsgruppe für grenzüberschreitende Krisen ein.

(2)   Die Ad-hoc-Koordinierungsgruppe für grenzüberschreitende Krisen

(3)   Gilt der Cyberangriff als Cybersicherheitsvorfall großen Ausmaßes oder wird dies erwartet, unterrichtet die Ad-hoc-Koordinierungsgruppe für grenzüberschreitende Krisen unverzüglich die nationalen Behörden für das Cyberkrisenmanagement gemäß Artikel 9 Absatz 1 der Richtlinie (EU) 2022/2555 in den von dem Sicherheitsvorfall betroffenen Mitgliedstaaten sowie die Kommission und das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe). In einer solchen Situation unterstützt die Ad-hoc-Koordinierungsgruppe für grenzüberschreitende Krisen das EU-CyCLONe in Bezug auf sektorale Besonderheiten.

(4)   Einrichtungen mit kritischen oder erheblichen Auswirkungen müssen Kapazitäten, interne Leitlinien, Vorsorgepläne und Personal, das an der Aufdeckung und Eindämmung grenzüberschreitender Krisen mitwirkt, vorsehen und darüber verfügen. Die von einer zeitgleich auftretenden Stromversorgungskrise betroffene Einrichtung mit kritischen oder erheblichen Auswirkungen untersucht die zugrunde liegende Ursache dieser Krise in Zusammenarbeit mit der für sie zuständigen Behörde, um festzustellen, inwieweit die Krise mit einem Cyberangriff in Verbindung steht.

(5)   Die in Absatz 4 genannten Aufgaben können von den Mitgliedstaaten gemäß Artikel 37 Absatz 2 der Verordnung (EU) 2019/943 auch an die regionalen Koordinierungszentren delegiert werden.

(1)   Innerhalb von 24 Monaten nach der Übermittlung des Berichts über die unionsweite Risikobewertung an die ACER entwickelt diese in enger Zusammenarbeit mit der ENISA, ENTSO-E, der EU-VNBO, den CS-NCA, den zuständigen Behörden, den RP-NCA, den NRB und den nationalen NIS-Behörden für das Cyberkrisenmanagement einen unionsweiten Cybersicherheitskrisenmanagement- und -reaktionsplan für den Elektrizitätssektor.

(2)   Innerhalb von 12 Monaten nach der Ausarbeitung des unionsweiten Cybersicherheitskrisenmanagement- und -reaktionsplans für den Elektrizitätssektor gemäß Absatz 1 durch die ACER erstellt jede zuständige Behörde einen nationalen Cybersicherheitskrisenmanagement- und -reaktionsplan für grenzüberschreitende Stromflüsse unter Berücksichtigung des unionsweiten Cybersicherheitskrisenmanagement- und -reaktionsplans für den Elektrizitätssektor und des gemäß Artikel 10 der Verordnung (EU) 2019/941 erstellten nationalen Risikovorsorgeplans. Dieser Plan muss mit dem Plan für die Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes und Krisen gemäß Artikel 9 Absatz 4 der Richtlinie (EU) 2022/2555 im Einklang stehen. Die zuständige Behörde stimmt sich mit den Einrichtungen mit kritischen oder erheblichen Auswirkungen sowie mit der RP-NCA in ihrem Mitgliedstaat ab.

(3)   Der gemäß Artikel 9 Absatz 4 der Richtlinie (EU) 2022/2555 erforderliche nationale Plan für die Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes und Krisen gilt als nationaler Plan für das Cybersicherheitskrisenmanagement im Sinne dieses Artikels, wenn er Bestimmungen für das Krisenmanagement und die Krisenreaktion in Bezug auf grenzüberschreitende Stromflüsse enthält.

(4)   Die in den Absätzen 1 und 2 aufgeführten Aufgaben können von den Mitgliedstaaten gemäß Artikel 37 Absatz 2 der Verordnung (EU) 2019/943 auch an die regionalen Koordinierungszentren delegiert werden.

(5)   Einrichtungen mit kritischen oder erheblichen Auswirkungen stellen sicher, dass ihre Krisenmanagementprozesse im Bereich der Cybersicherheit

(6)   Innerhalb von 12 Monaten nach der Unterrichtung der Einrichtungen mit erheblichen oder kritischen Auswirkungen gemäß Artikel 24 Absatz 6 und danach alle drei Jahre erstellen Einrichtungen mit kritischen oder erheblichen Auswirkungen auf Ebene der Einrichtung einen Krisenmanagementplan für Cybersicherheitskrisen, der in ihre allgemeinen Krisenmanagementpläne aufgenommen wird. Dieser Plan muss mindestens Folgendes umfassen:

(7)   Die Maßnahmen für das Krisenmanagement gemäß Artikel 21 Absatz 2 Buchstabe c der Richtlinie (EU) 2022/2555 gelten als Krisenmanagementplan auf Ebene der Einrichtung für den Elektrizitätssektor im Sinne dieses Artikels, wenn sie alle in Absatz 6 aufgeführten Anforderungen erfüllen.

(8)   Die Krisenmanagementpläne werden in den Cybersicherheitsübungen gemäß den Artikeln 43, 44 und 45 getestet.

(9)   In Bezug auf Prozesse mit kritischen oder erheblichen Auswirkungen nehmen Einrichtungen mit kritischen oder erheblichen Auswirkungen ihre Krisenmanagementpläne auf Ebene der Einrichtung in ihre Pläne zur Aufrechterhaltung des Geschäftsbetriebs (Business Continuity) auf. Die Krisenmanagementpläne auf Ebene der Einrichtung müssen Folgendes umfassen:

(10)   Einrichtungen mit kritischen oder erheblichen Auswirkungen aktualisieren ihre Krisenmanagementpläne auf Ebene der Einrichtung mindestens alle drei Jahre sowie immer dann, wenn dies erforderlich ist.

(11)   Die ACER aktualisiert den gemäß Absatz 1 erstellten unionsweiten Cybersicherheitskrisenmanagement- und -reaktionsplan für den Elektrizitätssektor mindestens alle drei Jahre sowie immer dann, wenn dies erforderlich ist.

(12)   Jede zuständige Behörde aktualisiert den gemäß Absatz 2 erstellten nationalen Cybersicherheitskrisenmanagement- und -reaktionsplan für grenzüberschreitende Stromflüsse mindestens alle drei Jahre sowie immer dann, wenn dies erforderlich ist.

(13)   Einrichtungen mit kritischen oder erheblichen Auswirkungen testen ihre Pläne zur Aufrechterhaltung des Geschäftsbetriebs mindestens einmal alle drei Jahre oder nach größeren Änderungen in einem Prozess mit kritischen Auswirkungen. Die Ergebnisse der Tests der Pläne zur Aufrechterhaltung des Geschäftsbetriebs werden dokumentiert. Einrichtungen mit kritischen oder erheblichen Auswirkungen können den Test ihres Plans zur Aufrechterhaltung des Geschäftsbetriebs in die Cybersicherheitsübungen einbeziehen.

(14)   Einrichtungen mit kritischen oder erheblichen Auswirkungen aktualisieren ihren Plan zur Aufrechterhaltung des Geschäftsbetriebs immer bei Bedarf und mindestens einmal alle drei Jahre unter Berücksichtigung der Ergebnisse des Tests.

(15)   Werden bei einem Test Mängel im Plan zur Aufrechterhaltung des Geschäftsbetriebs festgestellt, behebt die Einrichtung mit kritischen oder erheblichen Auswirkungen diese Mängel innerhalb von 180 Kalendertagen nach dem Test und führt einen neuen Test durch, um nachzuweisen, dass die Korrekturmaßnahmen wirksam sind.

(16)   Kann eine Einrichtung mit kritischen oder erheblichen Auswirkungen die Mängel nicht innerhalb von 180 Kalendertagen beheben, nimmt sie die Gründe in den Bericht auf, der der für sie zuständigen Behörde gemäß Artikel 27 vorzulegen ist.

(1)   Die zuständigen Behörden arbeiten mit der ENISA zusammen, um im Rahmen der Unterstützung für die Mitgliedstaaten gemäß Artikel 6 Absätze 2 und 7 der Verordnung (EU) 2019/881 Frühwarnkapazitäten für die Cybersicherheit im Elektrizitätsbereich (Electricity Cybersecurity Early Alert Capabilities, ECEAC) zu entwickeln.

(2)   Die ECEAC müssen es der ENISA bei der Wahrnehmung der in Artikel 7 Absatz 7 der Verordnung (EU) 2019/881 aufgeführten Aufgaben ermöglichen,

(3)   Die CSIRTs leiten die von der ENISA bereitgestellten Informationen im Rahmen ihrer in Artikel 11 Absatz 3 Buchstabe b der Richtlinie (EU) 2022/2555 festgelegten Aufgaben unverzüglich an die betreffenden Einrichtungen weiter.

(4)   Die ACER überwacht die Wirksamkeit der ECEAC. Die ENISA unterstützt die ACER durch Bereitstellung aller erforderlichen Informationen gemäß Artikel 6 Absatz 2 und Artikel 7 Absatz 1 der Verordnung (EU) 2019/881. Die Analyse dieser Überwachungstätigkeit ist Teil der Überwachung gemäß Artikel 12 der vorliegenden Verordnung.

(1)   Bis zum 31. Dezember des Jahres nach der Unterrichtung der Einrichtungen mit kritischen Auswirkungen und danach alle drei Jahre führt jede Einrichtung mit kritischen Auswirkungen eine Cybersicherheitsübung durch, die ein oder mehrere Szenarien mit Cyberangriffen umfasst, die sich direkt oder indirekt auf grenzüberschreitende Stromflüsse auswirken und mit den gemäß den Artikeln 20 und 27 bei den Cybersicherheitsrisikobewertungen auf Ebene der Mitgliedstaaten und Einrichtungen ermittelten Risiken im Zusammenhang stehen.

(2)   Abweichend von Absatz 1 kann die RP-NCA nach Konsultation der zuständigen Behörde und der gemäß Artikel 9 der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörde für das Cyberkrisenmanagement beschließen, anstelle der Cybersicherheitsübung auf Ebene der Einrichtung eine Cybersicherheitsübung gemäß Absatz 1 auf Ebene des Mitgliedstaats durchzuführen. In diesem Zusammenhang unterrichtet die zuständige Behörde

(3)   Die RP-NCA organisiert mit technischer Unterstützung ihrer CSIRTs die in Absatz 2 beschriebene Cybersicherheitsübung auf Ebene des Mitgliedstaats getrennt oder zusammen mit einer anderen Cybersicherheitsübung in diesem Mitgliedstaat. Um diese Übungen zusammenfassen zu können, kann die RP-NCA die in Absatz 1 genannte Cybersicherheitsübung auf Ebene des Mitgliedstaats um ein Jahr verschieben.

(4)   Die Cybersicherheitsübungen auf Ebene der Einrichtungen und der Mitgliedstaaten müssen mit den nationalen Rahmen für das Cybersicherheitskrisenmanagement gemäß Artikel 9 Absatz 4 Buchstabe d der Richtlinie (EU) 2022/2555 im Einklang stehen.

(5)   Bis zum 31 Dezember 2026 und danach alle drei Jahre stellt ENTSO-E in Zusammenarbeit mit der EU-VNBO ein Muster für das Übungsszenario für die Durchführung der in Absatz 1 genannten Cybersicherheitsübungen auf Ebene der Einrichtungen und der Mitgliedstaaten bereit. Das Muster muss den Ergebnissen der jüngsten Bewertung des Cybersicherheitsrisikos auf Ebene der Einrichtungen und der Mitgliedstaaten Rechnung tragen und zentrale Leistungskriterien enthalten. ENTSO-E und die EU-VNBO beziehen die ACER und die ENISA bei der Entwicklung dieses Musters ein.

(1)   Bis zum 31 Dezember 2029 und danach alle drei Jahre organisiert ENTSO-E in Zusammenarbeit mit der EU-VNBO in jeder Netzbetriebsregion eine regionale Cybersicherheitsübung. An der regionalen Cybersicherheitsübung nehmen die Einrichtungen mit kritischen Auswirkungen teil. ENTSO-E kann in Zusammenarbeit mit der EU-VNBO innerhalb desselben Zeitrahmens anstelle einer regionalen Cybersicherheitsübung eine überregionale Cybersicherheitsübung in mehr als einer Netzbetriebsregion organisieren. Bei der Übung sollten andere vorhandene Risikobewertungen und Szenarien für die Cybersicherheit, die auf Unionsebene entwickelt wurden, berücksichtigt werden.

(2)   Die ENISA unterstützt ENTSO-E und die EU-VNBO bei der Vorbereitung und Organisation der Cybersicherheitsübung auf regionaler oder überregionaler Ebene.

(3)   ENTSO-E unterrichtet in Abstimmung mit der EU-VNBO die Einrichtungen mit kritischen Auswirkungen, die an der regionalen oder überregionalen Cybersicherheitsübung teilnehmen müssen, sechs Monate vor der Übung.

(4)   Der Organisator einer regelmäßigen Cybersicherheitsübung auf Unionsebene gemäß Artikel 7 Absatz 5 der Verordnung (EU) 2019/881 oder einer obligatorischen Cybersicherheitsübung in Bezug auf den Elektrizitätssektor innerhalb desselben geografischen Perimeters kann ENTSO-E und die EU-VNBO zur Teilnahme einladen. In diesen Fällen gilt die Verpflichtung nach Absatz 1 nicht, sofern alle Einrichtungen mit kritischen Auswirkungen in der Netzbetriebsregion an derselben Übung teilnehmen.

(5)   Nehmen ENTSO-E und die EU-VNBO an einer Cybersicherheitsübung gemäß Absatz 4 teil, so können sie die in Absatz 1 genannte regionale oder überregionale Cybersicherheitsübung um ein Jahr verschieben.

(6)   Bis zum 31 Dezember 2027 und danach alle drei Jahre stellt ENTSO-E in Abstimmung mit der EU-VNBO ein Muster für die Durchführung der regionalen und überregionalen Cybersicherheitsübungen bereit. Das Muster muss den Ergebnissen der jüngsten Bewertung des Cybersicherheitsrisikos auf regionaler Ebene Rechnung tragen und zentrale Leistungskriterien enthalten. In Bezug auf die Organisation und Durchführung der regionalen und überregionalen Cybersicherheitsübungen konsultiert ENTSO-E die Kommission und kann den Rat der ACER, der ENISA und der Gemeinsamen Forschungsstelle einholen.

(1)   Auf Ersuchen einer Einrichtung mit kritischen Auswirkungen nehmen die Anbieter kritischer Dienste an den in Artikel 43 Absätze 1 und 2 und in Artikel 44 Absatz 1 genannten Cybersicherheitsübungen teil, wenn sie Dienste für die Einrichtung mit kritischen Auswirkungen in dem Bereich erbringen, der dem Anwendungsbereich der betreffenden Cybersicherheitsübung entspricht.

(2)   Die Organisatoren der in Artikel 43 Absätze 1 und 2 und in Artikel 44 Absatz 1 genannten Cybersicherheitsübungen analysieren und beenden die einschlägigen Cybersicherheitsübungen mit einem an alle Teilnehmer gerichteten Bericht, in dem die gewonnenen Erkenntnisse zusammengefasst werden, wobei sie bei der ENISA gemäß Artikel 7 Absatz 5 der Verordnung (EU) 2019/881 Rat einholen können. Der Bericht muss Folgendes enthalten:

(3)   Auf Ersuchen des CSIRTs-Netzes, der NIS-Kooperationsgruppe oder des EU-CyCLONe leiten die Organisatoren der in Artikel 43 Absätze 1 und 2 und in Artikel 44 Absatz 1 genannten Cybersicherheitsübungen die Ergebnisse der einschlägigen Cybersicherheitsübung weiter. Die Organisatoren teilen jeder an den Übungen teilnehmenden Einrichtung die in Absatz 2 Buchstaben a und b dieses Artikels genannten Informationen mit. Die Organisatoren übermitteln die Liste der in Absatz 2 Buchstabe c genannten Empfehlungen ausschließlich an die Einrichtungen, an die sich die Empfehlungen richten.

(4)   Die Organisatoren der in Artikel 43 Absätze 1 und 2 und in Artikel 44 Absatz 1 genannten Cybersicherheitsübungen treffen mit den an den Übungen teilnehmenden Einrichtungen regelmäßig Folgemaßnahmen in Bezug auf die Umsetzung der Empfehlungen gemäß Absatz 2 Buchstabe c des vorliegenden Artikels.

(1)   Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen stellen sicher, dass die im Rahmen dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen nur nach dem Grundsatz „Kenntnis nur, wenn nötig“ und im Einklang mit den einschlägigen Vorschriften der Union und der Mitgliedstaaten über die Informationssicherheit zugänglich sind.

(2)   Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen stellen sicher, dass die im Rahmen dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen während des gesamten Lebenszyklus dieser Informationen entsprechend behandelt und nachverfolgt werden und dass sie am Ende ihres Lebenszyklus erst dann freigegeben werden, wenn sie anonymisiert wurden.

(3)   Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen stellen sicher, dass alle erforderlichen Schutzmaßnahmen organisatorischer und technischer Art getroffen werden, um die Vertraulichkeit, Integrität, Verfügbarkeit und Nichtabstreitbarkeit der im Rahmen dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen, unabhängig von den dabei genutzten Mitteln, zu wahren und zu schützen. Die Schutzmaßnahmen müssen

(4)   Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen stellen sicher, dass jede Person, der Zugang zu den im Rahmen dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen gewährt wird, über die auf Ebene der Einrichtungen geltenden Sicherheitsvorschriften sowie über die für den Schutz von Informationen relevanten Maßnahmen und Verfahren unterrichtet wird. Die Einrichtungen stellen sicher, dass die betroffene Person die Zuständigkeit anerkennt, die Informationen nach den in der Unterrichtung erteilten Anweisungen zu schützen.

(5)   Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen stellen sicher, dass der Zugang zu den im Rahmen dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen auf Personen beschränkt wird,

(6)   Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen bedürfen der schriftlichen Zustimmung der natürlichen oder juristischen Person, die die Informationen ursprünglich erstellt oder bereitgestellt hat, bevor sie diese Informationen an Dritte weitergeben, die nicht in den Anwendungsbereich dieser Verordnung fallen.

(7)   Eine in Artikel 2 Absatz 1 aufgeführte Einrichtung kann der Ansicht sein, dass diese Informationen ohne Einhaltung der Absätze 1 und 4 des vorliegenden Artikels weitergegeben werden müssen, um eine zeitgleich auftretende Stromversorgungskrise mit einer zugrunde liegenden Cybersicherheitsursache oder eine grenzüberschreitende Krise innerhalb der Union in einem anderen Sektor zu verhindern. In diesem Fall

(8)   Abweichend von Absatz 6 des vorliegenden Artikels können die zuständigen Behörden Informationen, die im Rahmen dieser Verordnung bereitgestellt, empfangen, ausgetauscht oder übermittelt werden, einem nicht in Artikel 2 Absatz 1 aufgeführten Dritten bereitstellen, ohne dass der Urheber der Informationen schriftlich zugestimmt hat, müssen diesen jedoch so bald wie möglich davon in Kenntnis setzen. Bevor die betreffende zuständige Behörde Informationen, die im Rahmen dieser Verordnung bereitgestellt, empfangen, ausgetauscht oder übermittelt wurden, einem nicht in Artikel 2 Absatz 1 aufgeführten Dritten offenlegt, muss sie in angemessenem Umfang sicherstellen, dass der betreffende Dritte Kenntnis von den geltenden Sicherheitsvorschriften hat, und hinreichende Gewähr dafür erhalten, dass der betreffende Dritte die empfangenen Informationen gemäß den Absätzen 1 bis 5 des vorliegenden Artikels schützen kann. Die zuständige Behörde anonymisiert diese Informationen, ohne dass die Elemente verloren gehen, die erforderlich sind, um die Öffentlichkeit über ein unmittelbares und ernstes Risiko für grenzüberschreitende Stromflüsse und mögliche Abhilfemaßnahmen zu informieren, und schützt die Identität des Urhebers der Informationen. In diesem Fall schützt der nicht in Artikel 2 Absatz 1 aufgeführte Dritte die empfangenen Informationen gemäß den auf Ebene der Einrichtung bereits geltenden Bestimmungen oder, wenn dies nicht möglich ist, nach den Bestimmungen und Anweisungen der jeweils zuständigen Behörde.

(9)   Dieser Artikel gilt nicht für Einrichtungen, die nicht in Artikel 2 Absatz 1 aufgeführt sind, wenn sie Informationen gemäß Absatz 6 des vorliegenden Artikels erhalten. In diesem Fall ist Absatz 7 anzuwenden, oder die zuständige Behörde kann dieser Einrichtung schriftliche Bestimmungen bereitstellen, die in Fällen anzuwenden sind, in denen Informationen gemäß dieser Verordnung eingehen.

(1)   Alle gemäß dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen unterliegen dem Berufsgeheimnis gemäß den Absätzen 2 bis 5 dieses Artikels sowie den Anforderungen aus Artikel 65 der Verordnung (EU) 2019/943. Alle von den in Artikel 2 dieser Verordnung aufgeführten Einrichtungen für die Zwecke der Durchführung dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen werden unter Berücksichtigung des vom Urheber angewandten Vertraulichkeitsgrads der Informationen geschützt.

(2)   Die in Artikel 2 aufgeführten Einrichtungen unterliegen der Verpflichtung zur Wahrung des Berufsgeheimnisses.

(3)   Die CS-NCAs, die NRB, die RP-NCA und die CSIRTs tauschen alle für die Wahrnehmung ihrer Aufgaben erforderlichen Informationen aus.

(4)   Alle von den in Artikel 2 Absatz 1 aufgeführten Einrichtungen für die Zwecke der Durchführung von Artikel 23 empfangenen, ausgetauschten oder übermittelten Informationen werden anonymisiert und aggregiert.

(5)   Informationen, die eine dieser Verordnung unterliegende Einrichtung oder Behörde im Rahmen der Erfüllung ihrer Pflichten erhält, dürfen an keine andere Einrichtung oder Behörde weitergegeben werden; davon unberührt bleiben Fälle, die unter das nationale Recht, andere Bestimmungen dieser Verordnung oder andere einschlägige Unionsvorschriften fallen.

(6)   Unbeschadet des nationalen Rechts und des Unionsrechts dürfen Behörden, Einrichtungen oder natürliche Personen, die Informationen gemäß dieser Verordnung erhalten, diese für keinen anderen Zweck als für die Wahrnehmung ihrer Aufgaben gemäß dieser Verordnung verwenden.

(7)   Die ACER gibt nach Konsultation der ENISA, aller zuständigen Behörden, von ENTSO-E und der EU-VNBO bis zum 13 Juni 2025 Leitlinien für alle in Artikel 2 Absatz 1 aufgeführten Einrichtungen zu Mechanismen für den Austausch von Informationen und insbesondere zu den geplanten Kommunikationsflüssen und Methoden zur Anonymisierung und Aggregierung von Informationen für die Zwecke der Durchführung des vorliegenden Artikels heraus.

(8)   Nach nationalem Recht oder Unionsrecht vertrauliche Informationen werden nur dann mit der Kommission und anderen zuständigen Behörden ausgetauscht, wenn ein solcher Austausch für die Anwendung dieser Verordnung erforderlich ist. Die auszutauschenden Informationen werden auf den für den Zweck dieses Informationsaustauschs erforderlichen und verhältnismäßigen Umfang beschränkt. Beim Informationsaustausch wird die Vertraulichkeit der Informationen gewahrt und die Sicherheit sowie die geschäftlichen Interessen von Einrichtungen mit kritischen oder erheblichen Auswirkungen werden geschützt.

(1)   Bis zur Genehmigung der Modalitäten oder Methoden gemäß Artikel 6 Absatz 2 oder der Pläne gemäß Artikel 6 Absatz 3 erstellt ENTSO-E in Zusammenarbeit mit der EU-VNBO unverbindliche Leitlinien zu folgenden Themen:

(2)   Bis zum 13 Oktober 2024 erarbeitet ENTSO-E in Zusammenarbeit mit der EU-VNBO eine Empfehlung für einen vorläufigen ECII. ENTSO-E teilt den zuständigen Behörden in Zusammenarbeit mit der EU-VNBO den empfohlenen vorläufigen ECII mit.

(3)   Vier Monate nach Erhalt des empfohlenen vorläufigen ECII oder bis spätestens 13 Februar 2025 ermitteln die zuständigen Behörden auf der Grundlage des empfohlenen ECII Einrichtungen, die als Einrichtungen mit erheblichen oder kritischen Auswirkungen in ihrem Mitgliedstaat in Betracht kommen, und erstellen eine vorläufige Liste von Einrichtungen mit erheblichen oder kritischen Auswirkungen. Die in der vorläufigen Liste aufgeführten Einrichtungen mit erheblichen oder kritischen Auswirkungen können ihren in dieser Verordnung festgelegten Verpflichtungen nach dem Vorsorgeprinzip freiwillig nachkommen. Bis zum 13 März 2025 teilen die zuständigen Behörden den in der vorläufigen Liste aufgeführten Einrichtungen mit, dass sie als Einrichtung mit erheblichen oder kritischen Auswirkungen eingestuft wurden.

(4)   Bis zum 13 Dezember 2024 erarbeitet ENTSO-E in Zusammenarbeit mit der EU-VNBO eine vorläufige Liste von unionsweiten Prozessen mit erheblichen oder kritischen Auswirkungen. Die gemäß Absatz 3 unterrichteten Einrichtungen, die freiwillig beschließen, ihre in dieser Verordnung festgelegten Verpflichtungen nach dem Vorsorgeprinzip zu erfüllen, nutzen die vorläufige Liste von unionsweiten Prozessen mit erheblichen oder kritischen Auswirkungen, um vorläufige Perimeter mit erheblichen oder kritischen Auswirkungen zu bestimmen und um zu ermitteln, welche Vermögenswerte in die erste Bewertung des Cybersicherheitsrisikos auf Ebene der Einrichtung einzubeziehen sind.

(5)   Bis zum 13 September 2024 übermittelt jede gemäß Artikel 4 Absatz 1 zuständige Behörde ENTSO-E und der EU-VNBO eine Liste ihrer nationalen Rechtsvorschriften, die für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse relevant sind.

(6)   Bis zum 13 Juni 2025 erstellt ENTSO-E in Zusammenarbeit mit der EU-VNBO unter Berücksichtigung der von den zuständigen Behörden bereitgestellten Informationen eine vorläufige Liste der nach nationalem Recht vorgeschriebenen europäischen und internationalen Normen und Kontrollen, die für Cybersicherheitsaspekte grenzüberschreitender Stromflüsse relevant sind.

(7)   Die vorläufige Liste der europäischen und internationalen Normen und Kontrollen muss Folgendes enthalten:

(8)   ENTSO-E und die EU-VNBO berücksichtigen bei der Fertigstellung der vorläufigen Liste von Normen die Stellungnahmen der ENISA und der ACER. ENTSO-E und die EU-VNBO veröffentlichen die vorläufige Liste der europäischen und internationalen Normen und Kontrollen auf ihren Websites.

(9)   ENTSO-E und die EU-VNBO konsultieren die ENISA und die ACER zu den gemäß Absatz 1 erstellten Vorschlägen für unverbindliche Leitlinien.

(10)   Bis die Mindest-Cybersicherheitskontrollen und die erweiterten Cybersicherheitskontrollen gemäß Artikel 29 entwickelt und gemäß Artikel 8 angenommen sind, bemühen sich alle in Artikel 2 Absatz 1 aufgeführten Einrichtungen, die gemäß Absatz 1 des vorliegenden Artikels erstellten unverbindlichen Leitlinien nach und nach anzuwenden.