(EU) 2024/1366Nařízení Komise v přenesené pravomoci (EU) 2024/1366 ze dne 11. března 2024, kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2019/943 zavedením kodexu sítě pro odvětvová pravidla pro aspekty kybernetické bezpečnosti přeshraničních toků elektřiny
| Publikováno: | Úř. věst. L 1366, 24.5.2024 | Druh předpisu: | Nařízení v přenesené pravomoci |
| Přijato: | 11. března 2024 | Autor předpisu: | Evropská komise |
| Platnost od: | 13. června 2024 | Nabývá účinnosti: | 13. června 2024 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text aktualizovaného znění s celou hlavičkou je dostupný pouze pro registrované uživatele.
Tento dokument slouží výhradně k informačním účelům a nemá žádný právní účinek. Orgány a instituce Evropské unie nenesou za jeho obsah žádnou odpovědnost. Závazná znění příslušných právních předpisů, včetně jejich právních východisek a odůvodnění, jsou zveřejněna v Úředním věstníku Evropské unie a jsou k dispozici v databázi EUR-Lex. Tato úřední znění jsou přímo dostupná přes odkazy uvedené v tomto dokumentu
|
NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) 2024/1366 ze dne 11. března 2024, kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2019/943 zavedením kodexu sítě pro odvětvová pravidla pro aspekty kybernetické bezpečnosti přeshraničních toků elektřiny (Úř. věst. L 1366 24.5.2024, s. 1) |
Ve znění:
|
|
|
Úřední věstník |
||
|
Č. |
Strana |
Datum |
||
|
NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) 2025/1759 ze dne 19. června 2025, |
L 1759 |
1 |
25.8.2025 |
|
NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) 2024/1366
ze dne 11. března 2024,
kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2019/943 zavedením kodexu sítě pro odvětvová pravidla pro aspekty kybernetické bezpečnosti přeshraničních toků elektřiny
(Text s významem pro EHP)
KAPITOLA I
OBECNÁ USTANOVENÍ
Článek 1
Předmět
Toto nařízení zavádí kodex sítě, který stanoví odvětvová pravidla pro aspekty kybernetické bezpečnosti přeshraničních toků elektřiny, včetně pravidel pro společné minimální požadavky, plánování, monitorování, podávání zpráv a řízení krizí.
Článek 2
Oblast působnosti
Toto nařízení se vztahuje na aspekty kybernetické bezpečnosti přeshraničních toků elektřiny při činnostech následujících subjektů, pokud jsou v souladu s článkem 24 označeny za subjekty s vysokým dopadem nebo subjekty s kritickým dopadem:
elektroenergetické podniky ve smyslu čl. 2 bodu 57 směrnice (EU) 2019/944;
nominovaní organizátoři trhu s elektřinou ve smyslu čl. 2 bodu 8 nařízení (EU) 2019/943;
organizovaná tržní místa nebo „organizované trhy“ ve smyslu čl. 2 bodu 4 prováděcího nařízení Komise (EU) č. 1348/2014 ( 1 ), které sjednávají transakce s produkty relevantními pro přeshraniční toky elektřiny;
poskytovatelé kritických služeb IKT podle čl. 3 bodu 9 tohoto nařízení;
ENTSO pro elektřinu zřízená podle článku 28 nařízení (EU) 2019/943;
subjekt EU DSO zřízený podle článku 52 nařízení (EU) 2019/943;
subjekty zúčtování ve smyslu čl. 2 bodu 14 nařízení (EU) 2019/943;
provozovatelé dobíjecích bodů ve smyslu přílohy I směrnice (EU) 2022/2555;
regionální koordinační centra zřízená podle článku 35 nařízení (EU) 2019/943;
poskytovatelé řízených bezpečnostních služeb ve smyslu čl. 6 bodu 40 směrnice (EU) 2022/2555;
jakýkoli jiný subjekt nebo třetí strana, jež byly pověřeny plněním povinností podle tohoto nařízení nebo jimž bylo plnění těchto povinností svěřeno.
Za plnění úkolů stanovených v tomto nařízení jsou v rámci svých stávajících mandátů odpovědné tyto orgány:
Agentura Evropské unie pro spolupráci energetických regulačních orgánů (dále jen „ACER“) zřízená nařízením Evropského parlamentu a Rady (EU) 2019/942 ( 2 );
příslušné vnitrostátní orgány odpovědné za plnění úkolů, které jim byly svěřeny podle tohoto nařízení a které členské státy určily podle článku 4, nebo „příslušný orgán“;
národní regulační orgány určené jednotlivými členskými státy podle čl. 57 odst. 1 směrnice (EU) 2019/944;
příslušné orgány pro rizikovou připravenost zřízené podle článku 3 nařízení (EU) 2019/941;
týmy pro reakce na počítačové bezpečnostní incidenty (dále jen „týmy CSIRT“) určené nebo zřízené podle článku 10 směrnice (EU) 2022/2555;
příslušné orgány odpovědné za kybernetickou bezpečnost určené nebo zřízené podle článku 8 směrnice (EU) 2022/2555;
Agentura Evropské unie pro kybernetickou bezpečnost zřízená podle nařízení (EU) 2019/881;
jakékoli jiné orgány nebo třetí strana, jež byly pověřeny plněním povinností podle tohoto nařízení nebo jimž bylo plnění těchto povinností svěřeno podle čl. 4 odst. 3.
Článek 3
Definice
Pro účely tohoto nařízení se rozumí:
„aktivem“ jakékoli informace, software nebo hardware v síti a informačních systémech, ať už hmotné nebo nehmotné, které mají hodnotu pro jednotlivce, organizaci nebo vládu;
„příslušným orgánem pro rizikovou připravenost“ příslušný orgán určený podle článku 3 nařízení (EU) 2019/941;
„týmem pro reakce na počítačové bezpečnostní incidenty“ tým odpovědný za zvládání rizik a řešení incidentů v souladu s článkem 10 směrnice (EU) 2022/2555;
„aktivem s kritickým dopadem“ aktivum, které je nezbytné k provádění procesu s kritickým dopadem;
„subjektem s kritickým dopadem“ subjekt, který provádí proces s kritickým dopadem a který byl určen příslušnými orgány v souladu s článkem 24;
„perimetrem kritického dopadu“ perimetr vymezený subjektem uvedeným v čl. 2 odst. 1, který obsahuje všechna aktiva s kritickým dopadem, na němž lze kontrolovat přístup k těmto aktivům a který vymezuje oblast, v níž se uplatňují pokročilé kontroly v oblasti kybernetické bezpečnosti;
„procesem s kritickým dopadem“ obchodní proces prováděný subjektem, u něhož jsou indexy dopadu na kybernetickou bezpečnost elektřiny vyšší než práh kritického dopadu;
„prahem kritického dopadu“ hodnoty indexů dopadu na kybernetickou bezpečnost elektřiny uvedené v čl. 19 odst. 3 písm. b), při jejichž překročení způsobí kybernetický útok na obchodní proces kritické narušení přeshraničních toků elektřiny;
„poskytovatelem kritických služeb IKT“ subjekt, který poskytuje službu IKT nebo proces IKT, který je nezbytný pro proces s kritickým dopadem nebo proces s vysokým dopadem ovlivňující aspekty kybernetické bezpečnosti přeshraničních toků elektřiny a který v případě narušení může způsobit kybernetický útok s dopadem vyšším než práh kritického dopadu nebo práh vysokého dopadu;
„přeshraničním tokem elektřiny“ přeshraniční tok ve smyslu čl. 2 bodu 3 nařízení (EU) 2019/943;
„kybernetickým útokem“ incident ve smyslu v čl. 3 bodu 14 nařízení (EU) 2022/2554;
„kybernetickou bezpečností“ kybernetická bezpečnost ve smyslu čl. 2 bodu 1 nařízení (EU) 2019/881;
„kontrolou v oblasti kybernetické bezpečnosti“ opatření nebo postupy prováděné za účelem prevence, odhalování, potírání nebo minimalizace kybernetických bezpečnostních rizik;
„kybernetickým bezpečnostním incidentem“ incident ve smyslu čl. 6 bodu 6 směrnice (EU) 2022/2555;
„systémem řízení kybernetické bezpečnosti“ zásady, postupy, pokyny a související zdroje a činnosti, které subjekt společně řídí s cílem chránit svá informační aktiva před kybernetickými hrozbami systematickým zaváděním, prováděním, provozováním, sledováním, přezkoumáváním, udržováním a zlepšováním bezpečnosti sítí a informačních systémů organizace;
„operačním střediskem kybernetické bezpečnosti“ specializované středisko, v němž technický tým složený z jednoho nebo více odborníků s podporou informačních systémů kybernetické bezpečnosti plní úkoly související s bezpečností (služby operačního střediska kybernetické bezpečnosti), jako je zvládání kybernetických útoků a řešení chyb v bezpečnostní konfiguraci, sledování bezpečnosti, analýza protokolů a odhalování kybernetických útoků;
„kybernetickou hrozbou“ kybernetická hrozba ve smyslu čl. 2 bodu 8 nařízení (EU) 2019/881;
„řízením zranitelnosti v oblasti kybernetické bezpečnosti“ postup zjišťování a řešení zranitelnosti;
„subjektem“ subjekt ve smyslu čl. 6 bodu 38 směrnice (EU) 2022/2555;
„včasným varováním“ informace nezbytné k určení, zda existuje podezření, že závažný incident byl způsoben protiprávním nebo zlovolným jednáním nebo zda by mohl mít přeshraniční dopad;
„indexem dopadu na kybernetickou bezpečnost elektřiny“ (dále jen „ECII“) index nebo klasifikační stupnice, která hodnotí možné důsledky kybernetických útoků na obchodní procesy zapojené do přeshraničních toků elektřiny;
„evropským systémem certifikace kybernetické bezpečnosti“ systém ve smyslu definice v čl. 2 bodu 9 nařízení (EU) 2019/881;
„subjektem s vysokým dopadem“ subjekt, který provádí proces s vysokým dopadem a který byl určen příslušnými orgány v souladu s článkem 24;
„procesem s vysokým dopadem“ jakýkoli obchodní proces prováděný subjektem, u něhož jsou indexy dopadu na kybernetickou bezpečnost elektřiny vyšší než práh vysokého dopadu;
„aktivem s vysokým dopadem“ aktivum, které je nezbytné k provedení procesu s vysokým dopadem;
„prahem vysokého dopadu“ hodnoty indexů dopadu na kybernetickou bezpečnost elektřiny uvedené v čl. 19 odst. 3 písm. b), při jejichž překročení způsobí úspěšný kybernetický útok na proces vysokou míru narušení přeshraničních toků elektřiny;
„perimetrem vysokého dopadu“ perimetr vymezený jakýmkoli subjektem uvedeným v čl. 2 odst. 1, který obsahuje všechna aktiva s vysokým dopadem, na němž lze kontrolovat přístup k těmto aktivům a který vymezuje oblast, v níž se uplatňují minimální kontroly v oblasti kybernetické bezpečnosti;
„produktem IKT“ produkt IKT ve smyslu čl. 2 bodu 12 nařízení (EU) 2019/881;
„službou IKT“ služba IKT ve smyslu čl. 2 bodu 13 nařízení (EU) 2019/881;
„procesem IKT“ proces IKT ve smyslu čl. 2 bodu 14 nařízení (EU) 2019/881;
„původním systémem“ původní systém IKT ve smyslu čl. 3 bodu 3 nařízení (EU) 2022/2554;
„národním jednotným kontaktním místem“ jednotné kontaktní místo určené nebo zřízené každým členským státem podle čl. 8 odst. 3 směrnice (EU) 2022/2555;
„orgány pro řízení kybernetických krizí ovlivňujících bezpečnost sítí a informací“ orgány určené nebo zřízené podle čl. 9 odst. 1 směrnice (EU) 2022/2555;
„původcem“ subjekt, který iniciuje výměnu informací, sdílení informací nebo ukládání informací;
„specifikacemi pro zadávání zakázek“ specifikace, které subjekty stanoví pro zadávání zakázek na nové nebo aktualizované produkty IKT, procesy IKT nebo služby IKT;
„zástupcem“ fyzická nebo právnická osoba usazená v Unii, která je výslovně určena k jednání jménem subjektu s vysokým dopadem nebo subjektu s kritickým dopadem, který není usazen v Unii, ale poskytuje služby subjektům v Unii, a na kterou se může příslušný orgán nebo tým CSIRT obracet místo na samotný subjekt s vysokým dopadem nebo subjekt s kritickým dopadem, pokud jde o povinnosti tohoto subjektu podle tohoto nařízení;
„rizikem“ riziko ve smyslu čl. 6 bodu 9 směrnice (EU) 2022/2555;
„maticí dopadu rizik“ matice používaná při posuzování rizik k určení výsledné úrovně dopadu rizik pro každé posuzované riziko;
„souběžnou elektroenergetickou krizí“ elektroenergetická krize podle definice v čl. 2 bodě 10 nařízení (EU) 2019/941;
„jednotným kontaktním místem na úrovni subjektu“ jednotné kontaktní místo na úrovni subjektu určené podle čl. 38 odst. 1 písm. c);
„zainteresovaným subjektem“ jakákoli strana, která má zájem na úspěchu a trvalém fungování organizace nebo procesu, jako jsou zaměstnanci, ředitelé, akcionáři, regulační orgány, sdružení, dodavatelé a zákazníci;
„normou“ norma ve smyslu čl. 2 odst. 1 nařízení Evropského parlamentu a Rady (EU) č. 1025/2012 ( 3 );
„regionem pro provoz soustavy“ regiony pro provoz soustavy vymezené v příloze I rozhodnutí ACER č. 05/2022 o vymezení regionů pro provoz soustavy, stanovené v souladu s článkem 36 nařízení (EU) 2019/943;
„provozovateli soustav“ provozovatel distribuční soustavy a provozovatel přenosové soustavy ve smyslu čl. 2 bodu 29 a čl. 2 bodu 35 směrnice (EU) 2019/944;
„procesem s kritickým dopadem na celou Unii“ jakýkoli proces v odvětví elektroenergetiky, který může zahrnovat více subjektů a u něhož lze při provádění posouzení kybernetického bezpečnostního rizika pro celou Unii považovat možný dopad kybernetického útoku za kritický;
„procesem s vysokým dopadem na celou Unii“ jakýkoli proces v odvětví elektroenergetiky, který může zahrnovat více subjektů a u něhož lze při provádění posouzení kybernetického bezpečnostního rizika na rizika pro celou Unii považovat možný dopad kybernetického útoku za vysoký;
„neopravenou aktivně zneužívanou zranitelností“ zranitelnost, která dosud nebyla zveřejněna a opravena a u níž existují spolehlivé důkazy, že aktér v soustavě provedl spuštění škodlivého kódu bez souhlasu vlastníka soustavy;
„zranitelností“ zranitelnost ve smyslu čl. 6 bodu 15 směrnice (EU) 2022/2555.
Článek 4
Příslušný orgán
Článek 5
Spolupráce mezi příslušnými orgány a subjekty na vnitrostátní úrovni
Příslušné orgány koordinují a zajišťují vhodnou spolupráci mezi příslušnými orgány odpovědnými za kybernetickou bezpečnost, orgány příslušnými k řízení kybernetických krizí, národními regulačními orgány, příslušnými orgány pro rizikovou připravenost a týmy CSIRT za účelem plnění příslušných povinností stanovených v tomto nařízení. Příslušné orgány rovněž koordinují svou činnost s dalšími subjekty nebo orgány, které určí každý členský stát, k zajištění účinných postupů a zabránění zdvojování úkolů a povinností. Příslušné orgány mohou vydat příslušným národním regulačním orgánům pokyn, aby požádaly ACER o stanovisko podle čl. 8 odst. 3.
Článek 6
Podmínky nebo metodiky či plány
Následující podmínky nebo metodiky a jejich změny podléhají schválení všemi příslušnými orgány:
metodiky pro hodnocení kybernetických bezpečnostních rizik podle čl. 18 odst. 1;
zpráva o komplexním posouzení kybernetických bezpečnostních rizik pro přeshraniční toky elektřiny podle článku 23;
minimální a pokročilé kontroly v oblasti kybernetické bezpečnosti podle článku 29, mapování kontrol v oblasti kybernetické bezpečnosti elektřiny podle norem podle článku 34, včetně minimálních a pokročilých kontrol kybernetické bezpečnosti v dodavatelském řetězci v souladu s článkem 33;
doporučení pro zadávání zakázek v oblasti kybernetické bezpečnosti podle článku 35;
metodiku stupnice pro klasifikaci kybernetických útoků podle čl. 37 odst. 8.
Článek 7
Pravidla hlasování u provozovatelů přenosových soustav
Pokud provozovatelé přenosových soustav, kteří rozhodují o návrzích podmínek nebo metodik, nedokážou dosáhnout dohody, rozhodnou na základě hlasování kvalifikovanou většinou. Kvalifikovaná většina pro tyto návrhy se vypočítá takto:
provozovatelé přenosových soustav, kteří zastupují nejméně 55 % dotčených členských států a
provozovatelé přenosových soustav zastupující členské státy, které představují nejméně 65 % obyvatelstva Unie.
Pokud provozovatelé přenosových soustav z regionů pro provoz soustavy, kteří rozhodují o návrzích plánů uvedených v čl. 6 odst. 2, nedokážou dosáhnout dohody a pokud se daný region pro provoz soustavy skládá z více než pěti členských států, rozhodují provozovatelé přenosových soustav na základě hlasování kvalifikovanou většinou. Kvalifikovaná většina pro návrhy uvedené v čl. 6 odst. 2 vyžaduje tuto většinu:
provozovatelé přenosových soustav, kteří zastupují nejméně 72 % dotčených členských států; a
provozovatelé přenosových soustav zastupující členské státy, které představují nejméně 65 % obyvatelstva dotčené oblasti.
Článek 8
Předkládání návrhů příslušným orgánům
Článek 9
Konzultace
Článek 10
Zapojení zainteresovaných subjektů
ACER v úzké spolupráci s ENTSO pro elektřinu a subjektem EU DSO organizuje zapojení zainteresovaných subjektů, včetně pravidelných schůzek se zainteresovanými subjekty s cílem určit problémy a navrhnout zlepšení týkající se provádění tohoto nařízení.
Článek 11
Úhrada nákladů
Článek 12
Sledování
Nejméně každé tři roky od vstupu tohoto nařízení v platnost ACER zveřejní zprávu s cílem
přezkoumat stav provádění příslušných opatření pro řízení kybernetických bezpečnostních rizik se zřetelem na subjekty s vysokým dopadem a subjekty s kritickým dopadem;
zjistit, zda je třeba stanovit další pravidla týkající se společných požadavků, plánování, sledování, podávání zpráv a krizového řízení, aby se předešlo rizikům pro odvětví elektroenergetiky; a
určit oblasti, které je třeba zlepšit při revizi tohoto nařízení, nebo určit oblasti, které v něm nejsou zohledněny, a nové priority, které se mohou objevit v důsledku technického rozvoje.
Článek 13
Srovnávací hodnocení
Do dvanácti měsíců od vytvoření příručky pro srovnávací hodnocení podle odstavce 1 provedou národní regulační orgány srovnávací analýzu s cílem posoudit, zda současné investice do kybernetické bezpečnosti:
zmírňují rizika, jež mají dopad na přeshraniční toky elektřiny;
přinášejí požadované výsledky a zvyšují efektivitu rozvoje elektrizačních soustav;
jsou účinné a integrované do celkového zadávání zakázek na aktiva a služby.
Při srovnávací analýze mohou národní regulační orgány zohlednit nezávaznou příručku pro srovnávací hodnocení kybernetické bezpečnosti, kterou vypracovala ACER, a posoudí zejména:
průměrné výdaje týkající se kybernetické bezpečnosti na zmírnění rizik, jež mají dopad na přeshraniční toky elektřiny, zejména pokud jde o subjekty s vysokým dopadem a subjekty s kritickým dopadem;
ve spolupráci s ENTSO pro elektřinu a subjektem EU DSO průměrné ceny služeb, systémů a produktů kybernetické bezpečnosti, které ve velké míře přispívají k posílení a zachování opatření pro řízení kybernetických bezpečnostních rizik v jednotlivých regionech pro provoz soustavy;
existenci a úroveň srovnatelnosti nákladů a funkcí služeb, systémů a řešení v oblasti kybernetické bezpečnosti vhodných pro provádění tohoto nařízení, přičemž určí možná opatření nezbytná pro podporu efektivity výdajů, zejména v případech, kdy mohou být zapotřebí investice do technologií v oblasti kybernetické bezpečnosti.
Článek 14
Dohody s provozovateli přenosových soustav mimo Unii
Článek 15
Právní zástupci
Článek 16
Spolupráce mezi ENTSO pro elektřinu a subjektem EU DSO
ENTSO pro elektřinu a subjekt EU DSO spolupracují při provádění posouzení kybernetických bezpečnostních rizik podle článků 19 a 21, a zejména při plnění těchto úkolů:
vývoj metodiky pro hodnocení kybernetických bezpečnostních rizik podle čl. 18 odst. 1;
vypracování zprávy o komplexním posouzení kybernetických bezpečnostních rizik pro přeshraniční toky elektřiny podle článku 23;
vypracování společného rámce kybernetické bezpečnosti elektřiny podle kapitoly III;
vypracování doporučení pro zadávání zakázek v oblasti kybernetické bezpečnosti podle článku 35;
vývoj metodiky stupnice pro klasifikaci kybernetických útoků podle čl. 37 odst. 8;
vypracování předběžného indexu dopadu na kybernetickou bezpečnost elektřiny (dále jen „ECII“) podle čl. 48 odst. 1 písm. a);
vypracování konsolidovaného předběžného seznamu subjektů s vysokým dopadem a subjektů s kritickým dopadem podle čl. 48 odst. 3;
vypracování předběžného seznamu procesů s vysokým dopadem na celou Unii a procesů s kritickým dopadem na celou Unii podle čl. 48 odst. 4;
vypracování prozatímního seznamu evropských a mezinárodních norem a kontrol podle čl. 48 odst. 6;
provádění posouzení kybernetických bezpečnostních rizik na celou Unii podle článku 19;
provádění posouzení kybernetických bezpečnostních rizik na úrovni regionů podle článku 21;
vymezení regionálních plánů ke zmírnění kybernetických bezpečnostních rizik podle článku 22;
vypracování pokynů týkajících se evropských systémů certifikace kybernetické bezpečnosti pro produkty IKT, služby IKT a procesy IKT v souladu s článkem 36;
vypracování pokynů pro provádění tohoto nařízení po konzultaci s ACER a ENISA.
Článek 17
Spolupráce mezi ACER a příslušnými orgány
ACER ve spolupráci s každým příslušným orgánem:
sleduje provádění opatření k řízení kybernetických bezpečnostních rizik podle čl. 12 odst. 2 písm. a) a plnění oznamovacích povinností podle článků 27 a 39 a
sleduje proces přijímání a provádění podmínek, metodik nebo plánů podle čl. 6 odst. 2 a 3. Spolupráce mezi ACER, ENISA a jednotlivými příslušnými orgány může mít podobu subjektu pro sledování kybernetických bezpečnostních rizik.
KAPITOLA II
POSOUZENÍ RIZIK A URČENÍ PŘÍSLUŠNÝCH KYBERNETICKÝCH BEZPEČNOSTNÍCH RIZIK
Článek 18
Metodiky pro posuzování kybernetických bezpečnostních rizik
Metodiky pro posuzování kybernetických bezpečnostních rizik na úrovni Unie, na regionální úrovni a na úrovni členských států zahrnují:
seznam kybernetických hrozeb, které je třeba zvážit, včetně minimálně těchto následujících hrozeb pro dodavatelský řetězec:
závažné a neočekávané narušení dodavatelského řetězce;
nedostupnost produktů IKT, služeb IKT nebo procesů IKT z dodavatelského řetězce;
kybernetické útoky iniciované s využitím aktérů v dodavatelském řetězci;
únik citlivých informací v dodavatelském řetězci, včetně sledování dodavatelského řetězce;
zavedení slabých míst nebo „zadních vrátek“ do produktů ICT, služeb ICT nebo procesů ICT s využitím aktérů v dodavatelském řetězci;
kritéria pro hodnocení dopadu kybernetických bezpečnostních rizik jako vysokých nebo kritických s využitím vymezených prahových hodnot pro důsledky a pravděpodobnost;
přístup k analýze kybernetických bezpečnostních rizik vyplývajících z původních systémů, kaskádových účinků kybernetických útoků a povahy systémů provozujících rozvodnou síť v reálném čase;
přístup k analýze kybernetických bezpečnostních rizik vyplývajících ze závislosti na jediném dodavateli produktů IKT, služeb IKT nebo procesů IKT.
Metodiky pro posuzování kybernetických bezpečnostních rizik na úrovni Unie, na regionální úrovni a na úrovni členských států posuzují kybernetická bezpečnostní rizika pomocí stejné matice dopadu rizik. Matice dopadu rizik:
měří důsledky kybernetických útoků na základě následujících kritérií:
ztráta zatížení;
snížení výroby energie;
ztráta kapacity v primární frekvenční rezervě;
ztráta kapacity pro obnovení provozu elektrické sítě bez závislosti na vnější přenosové síti po úplném nebo částečném vypnutí (nazývaném také „start ze tmy“);
očekávaná doba trvání výpadku elektřiny, který ovlivní zákazníky, v kombinaci s rozsahem výpadku v počtu zákazníků a
jakákoli jiná kvantitativní nebo kvalitativní kritéria, která by mohla přiměřeně sloužit jako ukazatel dopadu kybernetického útoku na přeshraniční toky elektřiny;
měří pravděpodobnost incidentu jako četnost kybernetických útoků za rok.
Článek 19
Posouzení kybernetických bezpečnostních rizik pro celou Unii
Zpráva o posouzení kybernetických bezpečnostních rizik pro celou Unie obsahuje tyto prvky:
procesy s vysokým dopadem na celou Unii a procesy s kritickým dopadem na celou Unii;
matice dopadu rizik, kterou subjekty a příslušné orgány použijí k posouzení kybernetického bezpečnostního rizika zjištěného při posouzení kybernetických bezpečnostních rizik na úrovni členských států provedeného podle článku 20 a při posouzení kybernetických bezpečnostních rizik na úrovni subjektů podle čl. 26 odst. 2 písm. b).
Pokud jde o procesy s vysokým dopadem na celou Unii a procesy s kritickým dopadem na celou Unii, zpráva o posouzení kybernetických bezpečnostních rizik pro celou Unii obsahuje:
posouzení možných důsledků kybernetického útoku s použitím metrik definovaných v metodice pro posuzování kybernetických bezpečnostních rizik vypracované podle čl. 18 odst. 2, 3 a 4 a schválené podle článku 8;
index ECII a prahy vysokého dopadu a kritického dopadu, které příslušné orgány použijí podle čl. 24 odst. 1 a 2 k určení subjektů s vysokým dopadem a subjektů s kritickým dopadem zapojených do procesů s vysokým dopadem na celou Unii a do procesů s kritickým dopadem na celou Unii.
Článek 20
Posouzení kybernetických bezpečnostních rizik na úrovni členských států
Každý příslušný orgán s podporou týmu CSIRT a po konzultaci s příslušným orgánem odpovědným za kybernetickou bezpečnost v elektroenergetice do 21 měsíců od oznámení subjektů s vysokým dopadem a subjektů s kritickým dopadem podle čl. 24 odst. 6 a každé tři roky po tomto datu předloží ENTSO pro elektřinu a subjektu EU DSO zprávu o posouzení kybernetických bezpečnostních rizik na úrovni členského státu, která obsahuje tyto informace ohledně každého obchodního procesu s vysokým dopadem a procesu s kritickým dopadem:
stav provádění minimálních a pokročilých kontrol v oblasti kybernetické bezpečnosti podle článku 29;
seznam všech kybernetických útoků nahlášených v předchozích třech letech podle čl. 38 odst. 3;
souhrn informací o kybernetických hrozbách oznámených v předchozích třech letech podle čl. 38 odst. 6;
pro každý proces s vysokým dopadem na celou Unii nebo proces s kritickým dopadem na celou Unii odhad rizik ohrožení důvěrnosti, integrity a dostupnosti informací a příslušných aktiv;
v případě potřeby seznam dalších subjektů, které byly určeny jako subjekty s vysokým dopadem nebo subjekty s kritickým dopadem podle čl. 24 odst. 1, 2, 3 a 5.
Článek 21
Posouzení kybernetických bezpečnostních rizik na úrovni regionů
Článek 22
Regionální plány ke zmírnění kybernetických bezpečnostních rizik
Regionální plány ke zmírnění kybernetických bezpečnostních rizik zahrnují:
minimální a pokročilé kontroly v oblasti kybernetické bezpečnosti, které musí subjekty s vysokým dopadem a subjekty s kritickým dopadem uplatňovat v daném regionu pro provoz soustavy;
zbytková kybernetická bezpečnostní rizika v regionech pro provoz soustavy po uplatnění kontrol uvedených v písmeni a).
Článek 23
Zpráva o komplexním posouzení kybernetických bezpečnostních rizik pro přeshraniční toky elektřiny
Zpráva o komplexním posouzení kybernetických bezpečnostních rizik pro přeshraniční toky elektřiny vychází ze zprávy o posouzení kybernetických bezpečnostních rizik pro celou Unii, zpráv o posouzení kybernetických bezpečnostních rizik na úrovni členských států a zpráv o posouzení kybernetických bezpečnostních rizik na úrovni regionů a obsahuje tyto informace:
seznam procesů s vysokým dopadem na celou Unii a procesů s kritickým dopadem na celou Unii zjištěných ve zprávě o posouzení kybernetických bezpečnostních rizik pro celou Unii podle čl. 19 odst. 2 písm. a), včetně odhadu pravděpodobnosti a dopadu kybernetických bezpečnostních rizik vyhodnocených při vypracování zpráv o posouzení kybernetických bezpečnostních rizik na regionální úrovni čl. 21 odst. 2 a čl. 19 odst. 3 písm. a);
aktuální kybernetické hrozby, se zvláštním zaměřením na vznikající hrozby a rizika pro elektrizační soustavu;
kybernetické útoky za předchozí období na úrovni Unie, s poskytnutím kritického přehledu o tom, jaký dopad mohly mít tyto kybernetické útoky na přeshraniční toky elektřiny;
celkový stav provádění opatření v oblasti kybernetické bezpečnosti;
stav provádění informačních toků podle článků 37 a 38;
seznam informací nebo zvláštních kritérií pro klasifikaci informací podle článku 46;
zjištěná a zvýrazněná rizika, která mohou vyplývat z nezabezpečeného řízení dodavatelského řetězce;
výsledky a získané poznatky z regionálních a meziregionálních cvičení v oblasti kybernetické bezpečnosti pořádaných podle článku 44;
analýza vývoje celkových přeshraničních kybernetických bezpečnostních rizik v odvětví elektroenergetiky od posledního posouzení kybernetických bezpečnostních rizik na úrovni regionů;
jakékoli další informace, které mohou být užitečné pro určení možných zlepšení tohoto nařízení nebo potřeby revize tohoto nařízení nebo některého z jeho nástrojů; a
souhrnné a anonymizované informace o výjimkách udělených podle čl. 30 odst. 3.
Článek 24
Určení subjektů s vysokým dopadem a subjektů s kritickým dopadem
Každý příslušný orgán může ve svém členském státě určit další subjekty jako subjekty s vysokým dopadem nebo subjekty s kritickým dopadem, jsou-li splněna tato kritéria:
subjekt je součástí skupiny subjektů, u nichž existuje významné riziko, že budou kybernetickým útokem zasaženy současně;
hodnota indexu ECII agregovaná za skupinu subjektů je vyšší než práh vysokého dopadu nebo práh kritického dopadu.
Článek 25
Vnitrostátní systémy ověřování
Rozhodne-li se příslušný orgán zavést vnitrostátní systém ověřování, zajistí, aby ověřování bylo prováděno v souladu s následujícími požadavky:
každá strana provádějící vzájemné hodnocení, audit nebo inspekci musí být nezávislá na ověřovaném subjektu s kritickým dopadem a nesmí být ve střetu zájmů;
pracovníci provádějící vzájemné hodnocení, audit nebo inspekci musí mít prokazatelné znalosti o:
kybernetické bezpečnosti v odvětví elektrické energie;
systémech řízení kybernetické bezpečnosti;
zásadách provádění auditů;
posuzování kybernetických bezpečnostních rizik;
společném rámci kybernetické bezpečnosti elektřiny;
vnitrostátním legislativním a regulačním rámci a evropských a mezinárodních normách v oblasti působnosti ověřování;
procesech s kritickým dopadem v oblasti působnosti ověřování;
strana provádějící vzájemné hodnocení, audit nebo inspekci musí mít na tyto činnosti dostatek času;
strana provádějící vzájemné hodnocení, audit nebo inspekci přijme vhodná opatření k ochraně informací, které shromáždí během ověřování, v souladu s úrovní jejich důvěrnosti; a
vzájemná hodnocení, audity nebo inspekce se provádějí nejméně jednou ročně a nejméně jednou za tři roky musí zahrnovat ověření v celém rozsahu.
Článek 26
Řízení kybernetických bezpečnostních rizik na úrovni subjektů
Každý subjekt s vysokým dopadem a subjekt s kritickým dopadem musí při řízení kybernetických bezpečnostních rizik vycházet z přístupu, jehož cílem je chránit jeho síť a informační systémy a který zahrnuje tyto fáze:
stanovení kontextu;
posouzení kybernetických bezpečnostních rizik na úrovni subjektu;
řešení kybernetických bezpečnostních rizik;
přijetí kybernetických bezpečnostních rizik.
Ve fázi stanovení kontextu každý subjekt s vysokým dopadem a každý subjekt kritickým dopadem:
vymezí rozsah posouzení rizik kybernetické bezpečnosti, včetně procesů s vysokým dopadem a procesů s kritickým dopadem, které určil ENTSO pro elektřinu a subjekt EU DSO, a dalších procesů, které mohou být cílem kybernetických útoků s vysokým nebo kritickým dopadem na přeshraniční toky elektřiny; a
vymezí kritéria pro hodnocení rizik a pro přijetí rizik v souladu s maticí dopadu rizik, kterou subjekty a příslušné orgány používají k posuzování kybernetických bezpečnostních rizik v rámci metodik posuzování kybernetických bezpečnostních rizik na úrovni Unie, na regionální úrovni a na úrovni členských států, které vypracovaly ENTSO pro elektřinu a subjekt EU DSO v souladu s čl. 19 odst. 2.
Ve fázi posuzování kybernetických bezpečnostních rizik každý subjekt s vysokým dopadem a subjekt s kritickým dopadem:
určí kybernetická bezpečnostní rizika se zohledněním:
všech aktiv, která podporují procesy s vysokým dopadem na celou Unii a procesy s kritickým dopadem na celou Unii, s posouzením možného dopadu na přeshraniční toky elektřiny v případě, že by tato aktiva byla ohrožena;
možných kybernetických hrozeb se zohledněním kybernetických hrozeb určených v nejnovější zprávě o komplexním posouzení kybernetických bezpečnostních rizik pro přeshraniční toky elektřiny uvedené v článku 23 a hrozeb pro dodavatelský řetězec;
zranitelnosti, včetně zranitelnosti v původních systémech;
možných scénářů kybernetických útoků, včetně kybernetických útoků ovlivňujících provozní bezpečnost elektrizační soustavy a narušujících přeshraniční toky elektřiny;
příslušných hodnocení a posouzení rizik prováděných na úrovni Unie, včetně koordinovaných posouzení rizik kritických dodavatelských řetězců v souladu s článkem 22 směrnice (EU) 2022/2555; a
stávajících zavedených kontrol;
analyzují pravděpodobnost a důsledky kybernetických bezpečnostních rizik určených v písmeni a) a určí úroveň kybernetických bezpečnostních rizik za použití matice dopadu rizik používané k posuzování kybernetických bezpečnostních rizik v rámci metodik posuzování kybernetických bezpečnostních rizik na úrovni Unie, na regionální úrovni a na úrovni členských států, které vypracovali provozovatelé přenosových soustav s pomocí ENTSO pro elektřinu a ve spolupráci se subjektem EU DSO v souladu s čl. 19 odst. 2;
klasifikují aktiva podle možných důsledků při narušení kybernetické bezpečnosti a určí perimetr vysokého dopadu a perimetr kritického dopadu pomocí těchto kroků:
u všech procesů, na které se vztahuje posouzení kybernetických bezpečnostních rizik, se provede posouzení obchodních dopad za použití indexu ECII;
proces se klasifikuje jako proces s vysokým dopadem nebo proces s kritickým dopadem, pokud je jeho index ECII vyšší než práh vysokého dopadu, respektive práh kritického dopadu;
všechna aktiva s vysokým dopadem a aktiva s kritickým dopadem se určí jako aktiva potřebná pro procesy s vysokým dopadem, respektive pro procesy s kritickým dopadem;
vymezí se perimetr vysokého dopadu a perimetr kritického dopadu, který obsahuje všechna aktiva s vysokým dopadem, respektive aktiva s kritickým dopadem tak, aby bylo možné kontrolovat přístup k perimetru;
vyhodnotí kybernetická bezpečnostní rizika stanovením jejich priority prostřednictvím kritérií pro hodnocení rizik a kritérií pro přijetí rizik uvedených v odst. 3 písm. b).
Článek 27
Podávání zpráv o posouzení rizik na úrovni subjektu
Každý subjekt s vysokým dopadem a subjekt s kritickým dopadem do 12 měsíců od oznámení subjektů s vysokým dopadem a subjektů s kritickým dopadem podle čl. 24 odst. 6 a poté každé tři roky předloží příslušnému orgánu zprávu obsahující tyto informace:
seznam kontrol vybraných pro plán ke zmírnění rizik na úrovni subjektu podle čl. 26 odst. 5 s aktuálním stavem provádění každé kontroly;
pro každý proces s vysokým dopadem na celou Unii nebo proces s kritickým dopadem na celou Unii odhad rizika ohrožení důvěrnosti, integrity a dostupnosti informací a příslušných aktiv. Odhad tohoto rizika se uvede v souladu s maticí dopadu rizik uvedenou v čl. 19 odst. 2;
seznam poskytovatelů kritických služeb IKT pro jejich procesy s kritickým dopadem.
KAPITOLA III
SPOLEČNÝ RÁMEC KYBERNETICKÉ BEZPEČNOSTI ELEKTŘINY
Článek 28
Složení, fungování a přezkum společného rámce kybernetické bezpečnosti elektřiny
Společný rámec kybernetické bezpečnosti elektřiny se skládá z následujících kontrolních mechanismů a systému řízení kybernetické bezpečnosti:
minimální kontroly v oblasti kybernetické bezpečnosti vypracované v souladu s článkem 29;
minimální kontroly v oblasti kybernetické bezpečnosti vypracované v souladu s článkem 29;
mapovací matice vypracované v souladu s článkem 34, která mapuje kontroly uvedené v písmenech a) a b) podle vybraných evropských a mezinárodních norem a vnitrostátních právních nebo regulačních rámců;
systém řízení kybernetické bezpečnosti zavedený podle článku 32.
Článek 29
Minimální a pokročilé kontroly v oblasti kybernetické bezpečnosti
Článek 30
Odchylky od minimálních a pokročilých kontrol v oblasti kybernetické bezpečnosti
Subjekty uvedené v čl. 2 odst. 1 mohou požádat příslušný orgán o udělení výjimky z povinnosti uplatňovat minimální a pokročilé kontroly v oblasti kybernetické bezpečnosti uvedené v čl. 29 odst. 6. Příslušný orgán může tuto výjimku udělit z jednoho z těchto důvodů:
ve výjimečných případech, kdy subjekt prokáže, že náklady na zavedení příslušných kontrol v oblasti kybernetické bezpečnosti výrazně převyšují přínosy. ACER a ENTSO pro elektřinu mohou ve spolupráci se subjektem DSO společně vypracovat pokyny pro odhad nákladů na kontroly v oblasti kybernetické bezpečnosti, které subjektům pomohou;
pokud subjekt předloží plán řešení rizik na úrovni subjektu, který zmírňuje kybernetická bezpečnostní rizika pomocí alternativních kontrolních mechanismů na úroveň, která je přijatelná v souladu s kritérii pro přijetí rizik uvedenými v čl. 26 odst. 3 písm. b).
Článek 31
Ověření společného rámce kybernetické bezpečnosti elektřiny
Článek 32
Systém řízení kybernetické bezpečnosti
Do 24 měsíců poté, co jim příslušný orgán oznámil, že byly určeny jako subjekt s vysokým dopadem nebo subjekt s kritickým dopadem v souladu s čl. 24 odst. 6, zavede každý subjekt s vysokým dopadem a subjekt s kritickým dopadem systém řízení kybernetické bezpečnosti a následně jej každé tři roky přezkoumá s cílem:
určit oblast působnosti systému řízení kybernetické bezpečnosti s ohledem na rozhraní a závislosti s jinými subjekty;
zajistit, aby byli všichni jeho vedoucí pracovníci informováni o příslušných právních povinnostech a aktivně přispívali k zavádění systému řízení kybernetické bezpečnosti prostřednictvím včasných rozhodnutí a pohotových reakcí;
zajistit, aby byly pro systém řízení kybernetické bezpečnosti k dispozici potřebné zdroje;
stanovit zásady kybernetické bezpečnosti, které musí být zdokumentovány a sděleny v rámci subjektu a stranám, jichž se bezpečnostní rizika týkají;
přidělit a sdělovat odpovědnost za úlohy související s kybernetickou bezpečností;
provádět řízení kybernetických bezpečnostních rizik na úrovni subjektu vymezených v článku 26;
určit a zajistit zdroje potřebné pro zavedení, údržbu a neustálé zlepšování systému řízení kybernetické bezpečnosti s ohledem na potřebné kompetence a povědomí o zdrojích kybernetické bezpečnosti;
určit interní a externí komunikaci, která se týká kybernetické bezpečnosti;
vytvářet, aktualizovat a kontrolovat zdokumentované informace týkající se systému řízení kybernetické bezpečnosti;
vyhodnotit výkonnost a účinnost systému řízení kybernetické bezpečnosti;
v plánovaných intervalech provádět interní audity, aby se zajistilo, že systém řízení kybernetické bezpečnosti je účinně zaveden a udržován;
v plánovaných intervalech přezkoumávat zavedený systém řízení kybernetické bezpečnosti a kontrolovat a napravovat nesoulad zdrojů a činností se zásadami, postupy a pokyny v systému řízení kybernetické bezpečnosti.
Článek 33
Minimální a pokročilé kontroly kybernetické bezpečnosti v dodavatelském řetězci
Minimální kontroly kybernetické bezpečnosti v dodavatelském řetězci se skládají z kontrol pro subjekty s vysokým dopadem a subjekty s kritickým dopadem, které:
zahrnují doporučení pro zadávání zakázek na produkty IKT, služby IKT a procesy IKT, která se týkají specifikací kybernetické bezpečnosti a zahrnují alespoň:
ověřování spolehlivosti zaměstnanců dodavatele zapojených do dodavatelského řetězce, kteří nakládají s citlivými informacemi nebo mají přístup k aktivům s vysokým dopadem nebo aktivům s kritickým dopadem. Ověřování spolehlivosti může zahrnovat ověření totožnosti a biografických údajů zaměstnanců nebo smluvních partnerů subjektu v souladu s vnitrostátním právem a postupy a s příslušným a použitelným právem Unie, včetně nařízení (EU) 2016/679 a směrnice Evropského parlamentu a Rady (EU) 2016/680 ( 5 ). Ověřování spolehlivosti musí být přiměřené a přísně omezeno na to, co je nezbytné. Provádí se výhradně za účelem vyhodnocení potenciálního bezpečnostního rizika pro dotčený subjekt. Musí být úměrné obchodním požadavkům, stupni utajení informací, k nimž má být poskytnut přístup, a vnímaným rizikům a mohou být prováděny subjektem samotným, externí společností provádějící prověrky nebo prostřednictvím vládní prověrky;
procesy bezpečného a kontrolovaného návrhu, vývoje a výroby produktů IKT, služeb IKT a procesů IKT, podporu návrhu a vývoje produktů IKT, služeb IKT a procesů IKT, které zahrnují vhodná technická opatření k zajištění kybernetické bezpečnosti;
návrh sítí a informačních systémů, v nichž zařízení nejsou důvěryhodná, i když se nacházejí v zabezpečeném perimetru, vyžadují ověření všech přijatých požadavků a uplatňují zásadu minimálních práv;
přístup dodavatele k aktivům subjektu;
smluvní povinnost dodavatele chránit citlivé informace subjektu a omezit k nim přístup;
specifikace podkladů pro zadávání zakázek v oblasti kybernetické bezpečnosti subdodavatelům dodavatele;
sledovatelnost uplatňování specifikací kybernetické bezpečnosti od vývoje přes výrobu až po dodání produktů IKT, služeb IKT nebo procesů IKT;
podporu bezpečnostních aktualizací po celou dobu životnosti produktů IKT, služeb IKT nebo procesů IKT;
právo kontrolovat kybernetickou bezpečnost v procesu návrhu, vývoje a výroby u dodavatele a
posouzení rizikového profilu dodavatele;
vyžadují, aby tyto subjekty při uzavírání smluv s dodavateli, spolupracujícími partnery a dalšími stranami v dodavatelském řetězci zohledňovaly doporučení pro zadávání zakázek uvedená v písmeni a), která se týkají běžných dodávek produktů IKT, služeb IKT a procesů IKT, jakož i nevyžádaných událostí a okolností, jako je ukončení a převod smluv v případech nedbalosti smluvního partnera;
vyžadují, aby tyto subjekty zohlednily výsledky příslušných koordinovaných posouzení bezpečnostních rizik kritických dodavatelských řetězců provedených v souladu s čl. 22 odst. 1 směrnice (EU) 2022/2555;
zahrnují kritéria pro výběr dodavatelů a uzavírání smluv s dodavateli, kteří mohou splnit specifikace kybernetické bezpečnosti uvedené v písmenu a) a kteří mají úroveň kybernetické bezpečnosti odpovídající kybernetickým bezpečnostním rizikům produktu IKT, služby IKT nebo procesů IKT, které dodavatel dodává;
zahrnují kritéria pro diverzifikaci zdrojů dodávek produktů IKT, služeb IKT a procesů IKT a omezují riziko proprietárního uzamčení;
zahrnují kritéria pro pravidelné sledování, přezkum nebo audit specifikací kybernetické bezpečnosti interních provozních procesů dodavatele v průběhu celého životního cyklu každého produktu IKT, služby IKT a procesu IKT.
Článek 34
Mapovací matice pro kontroly kybernetické bezpečnosti elektřiny na základě norem
KAPITOLA IV
DOPORUČENÍ PRO ZADÁVÁNÍ ZAKÁZEK V OBLASTI KYBERNETICKÉ BEZPEČNOSTI
Článek 35
Doporučení pro zadávání zakázek v oblasti kybernetické bezpečnosti
Provozovatelé přenosových soustav s pomocí ENTSO pro elektřinu a ve spolupráci se subjektem EU DSO vypracují v rámci pracovního programu, který bude stanoven a aktualizován pokaždé, když bude přijata zpráva o posouzení kybernetických bezpečnostních rizik na úrovni regionu, soubory nezávazných doporučení pro zadávání zakázek v oblasti kybernetické bezpečnosti, které mohou subjekty s vysokým dopadem a subjekty s kritickým dopadem použít jako základ pro zadávání zakázek na produkty IKT, služby IKT a procesy IKT v perimetru vysokého dopadu a v perimetru kritického dopadu. Tento pracovní program zahrnuje:
popis a klasifikaci druhů produktů IKT, služeb IKT a procesů IKT používaných subjekty s vysokým dopadem a subjekty s kritickým dopadem v perimetru vysokého dopadu a v perimetru kritického dopadu;
seznam druhů produktů IKT, služeb IKT a procesů IKT, pro které bude vypracován soubor nezávazných doporučení v oblasti kybernetické bezpečnosti na základě příslušných zpráv o posouzení kybernetických bezpečnostních rizik na úrovni regionů a na základě priorit subjektů s vysokým dopadem a subjektů s kritickým dopadem;
Provozovatelé přenosových soustav s pomocí ENTSO pro elektřinu a ve spolupráci se subjektem EU DSO zajistí, aby soubory doporučení pro zadávání zakázek v oblasti kybernetické bezpečnosti:
byly v souladu se zásadami zadávání veřejných zakázek podle směrnice 2014/24/EU a
byly slučitelné s nejnovějšími dostupnými evropskými systémy certifikace kybernetické bezpečnosti, které se vztahují k produktu IKT, službě IKT nebo procesu IKT, a zohledňovaly tyto systémy.
Článek 36
Pokyny k používání evropských systémů certifikace kybernetické bezpečnosti při zadávání zakázek na produkty IKT, služby IKT a procesy IKT
Provozovatelé přenosových soustav s pomocí ENTSO pro elektřinu a ve spolupráci se subjektem EU DSO úzce spolupracují s ENISA při poskytování odvětvových pokynů obsažených v nezávazných doporučeních pro zadávání zakázek v oblasti kybernetické bezpečnosti podle odstavce 1.
KAPITOLA V
INFORMAČNÍ TOKY, KYBERNETICKÉ ÚTOKY A ŘÍZENÍ KRIZÍ
Článek 37
Pravidla pro sdílení informací
Pokud příslušný orgán obdrží informace týkající se kybernetického útoku podléhajícího hlášení, tento příslušný orgán:
posoudí úroveň důvěrnosti těchto informací a o výsledku svého posouzení informuje subjekt bez zbytečného odkladu, nejpozději však do 24 hodin od obdržení informací;
se pokusí zjistit jakýkoli jiný podobný kybernetický útok v Unii, který byl nahlášen jiným příslušným orgánům, s cílem porovnat informace získané v souvislosti s kybernetickým útokem, který je předmětem hlášení, s informacemi poskytnutými v souvislosti s jinými kybernetickými útoky a obohatit stávající informace, posílit a koordinovat reakce v oblasti kybernetické bezpečnosti;
odpovídá za odstranění obchodních tajemství a anonymizaci informací v souladu s příslušnými vnitrostátními předpisy a předpisy Unie;
bez zbytečného odkladu, nejpozději však do 24 hodin od přijetí informace o kybernetickém útoku podléhajícím hlášení, sdílí tyto informace s národními jednotnými kontaktními místy, týmy CSIRT a všemi příslušnými orgány určenými podle článku 4 v jiných členských státech a pravidelně těmto orgánům nebo subjektům poskytuje aktualizované informace;
po anonymizaci a odstranění obchodních tajemství podle odst. 1 písm. c) a bez zbytečného odkladu, nejpozději však do 24 hodin od obdržení informací podle odst. 1 písm. a), předá informace o kybernetickém útoku subjektům s kritickým dopadem a subjektům s vysokým dopadem ve svém členském státě a pravidelně jim poskytuje aktualizované informace, které těmto subjektům umožní účinně organizovat obranu;
může požádat ohlašující subjekt s vysokým dopadem nebo subjekt s kritickým dopadem, aby informace o kybernetickém útoku podléhajícím hlášení dále bezpečným způsobem šířil mezi další subjekty, které mohou být zasaženy, s cílem vytvořit v rámci odvětví elektroenergetiky povědomí o situaci a zabránit naplnění rizika, které může eskalovat v přeshraniční kybernetický bezpečnostní incident v elektroenergetice;
po anonymizaci a odstranění obchodních tajemství předloží ENISA souhrnnou zprávu s informacemi o kybernetickém útoku.
Pokud se tým CSIRT dozví o neopravené aktivně zneužívané zranitelnosti, musí:
toto neprodleně sdělit ENISA prostřednictvím vhodného zabezpečeného kanálu pro výměnu informací, není-li v jiných právních předpisech Unie stanoveno jinak;
podpořit dotčený subjekt, aby od výrobce nebo poskytovatele obdržel účinnou, koordinovanou a rychlou správu neopravené aktivně zneužívané zranitelnosti nebo účinná a efektivní opatření k jejímu zmírnění;
sdílet dostupné informace s dodavatelem a požádat výrobce nebo poskytovatele, aby pokud možno určil seznam týmů CSIRT v členských státech, kterých se neopravená aktivně zneužívaná zranitelnost týká, a které je nutné informovat;
sdílet dostupné informace s týmy CSIRT uvedenými v předchozím písmeni na základě zásady „vědět jen to nejnutnější“;
sdílet strategie a opatření ke zmírnění nahlášené neopravené aktivně zneužívané zranitelnosti, pokud takové strategie a opatření existují.
Pokud se příslušný orgán dozví o neopravené aktivně zneužívané zranitelnosti, musí:
v koordinaci s týmy SCIRT sdílet strategie a opatření ke zmírnění nahlášené neopravené a aktivně zneužívané zranitelnosti, pokud takové strategie a opatření existují v jeho členském státě;
sdílet informace s týmem CSIRT v členském státě, kde byla neopravená aktivně zneužívaná zranitelnost nahlášena.
Provozovatelé přenosových soustav s pomocí ENTSO pro elektřinu a ve spolupráci se subjektem EU DSO vypracují do 13. června 2025 metodiku stupnice pro klasifikaci kybernetických útoků. Provozovatelé přenosových soustav mohou s pomocí ENTSO pro elektřinu a subjektu EU DSO požádat příslušné orgány, aby konzultovaly ENISA a své příslušné orgány odpovědné za kybernetickou bezpečnost o pomoc při vypracování takové klasifikační stupnice. Metodika musí stanovit klasifikaci závažnosti kybernetického útoku podle pěti úrovní, přičemž dvě nejvyšší úrovně jsou „vysoká“ a „kritická“. Klasifikace je založena na posouzení těchto parametrů:
potenciální dopad s ohledem na aktiva a perimetry vystavené útoku, určené v souladu s čl. 26 odst. 4 písm. c); a
závažnost kybernetického útoku.
Studie proveditelnosti posoudí možnosti, aby takový nástroj:
podporoval subjekty s kritickým dopadem a subjekty s vysokým dopadem relevantními informacemi týkajícími se bezpečnosti provozu přeshraničních toků elektřiny, jako je hlášení kybernetických útoků v téměř reálném čase, včasná upozornění týkající se kybernetické bezpečnosti a nezjištěné zranitelnosti zařízení používaných v elektrizační soustavě;
byl uchováván ve vhodném a vysoce důvěryhodném prostředí;
umožňoval shromažďování údajů od subjektů s kritickým dopadem a subjektů s vysokým dopadem a usnadnil odstranění důvěrných informací a anonymizaci dat a jejich rychlé šíření mezi subjekty s kritickým dopadem a subjekty s vysokým dopadem.
ENTSO pro elektřinu ve spolupráci se subjektem EU DSO:
při posuzování proveditelnosti konzultuje s ENISA a skupinou pro spolupráci v oblasti bezpečnosti sítí a informací, národní jednotnými kontaktními místy a zástupci hlavních zainteresovaných subjektů;
výsledky studie proveditelnosti předloží ACER a skupině pro spolupráci v oblasti bezpečnosti sítí a informací.
Článek 38
Úloha subjektů s vysokým dopadem a subjektů s kritickým dopadem, pokud jde o sdílení informací
Každý subjekt s vysokým dopadem a subjekt s kritickým dopadem:
pro všechna aktiva v rámci svého perimetru kybernetické bezpečnosti určeného podle čl. 26 odst. 4 písm. c) zajistí, aby operační středisko kybernetické bezpečnosti bylo minimálně schopno:
zajistit, aby příslušné sítě a informační systémy a aplikace poskytovaly bezpečnostní protokoly pro bezpečnostní monitorování, které umožní odhalovat anomálie a shromažďovat informace o kybernetických útocích;
provádět bezpečnostní sledování, včetně odhalování narušení a posuzování zranitelnosti sítí a informačních systémů;
provádět analýzy a v případě potřeby přijmout veškerá opatření, která jsou v rámci jeho odpovědnosti a možností nezbytná k ochraně subjektu;
účastnit se shromažďování a sdílení informací popsaných v tomto článku;
má právo pořizovat všechny tyto schopnosti nebo jejich části podle písmene a) prostřednictvím poskytovatelů řízených bezpečnostních služeb. Subjekty s kritickým dopadem a subjekty s vysokým dopadem jsou nadále za poskytovatele řízených bezpečnostních služeb odpovědné a dohlížejí na jejich činnost;
určí jednotné kontaktní místo na úrovni subjektu pro účely sdílení informací.
Každý subjekt s kritickým dopadem a subjekt s vysokým dopadem poskytne bez zbytečného odkladu svým týmům CSIRT veškeré informace týkající se kybernetických hrozeb podléhajících hlášení, které mohou mít přeshraniční dopad. Informace týkající se kybernetické hrozby se považují za podléhající hlášení, je-li splněna alespoň jedna z těchto podmínek:
poskytují relevantní informace pro jiné subjekty s kritickým dopadem a subjekty s vysokým dopadem důležité pro prevenci a odhalení rizika, reakci na ně nebo zmírnění jeho dopadu;
zjištěné techniky, taktika a postupy použité v rámci útoku vedou k informacím, jako jsou kompromitované adresy URL nebo IP, hashe nebo další atributy užitečné pro kontextualizaci a korelaci útoku;
kybernetická hrozba může být dále posouzena a dána do kontextu s dalšími informacemi poskytnutými poskytovateli služeb nebo třetími stranami, na které se toto nařízení nevztahuje.
Každý subjekt s kritickým dopadem a subjekt s vysokým dopadem při sdílení informací podle tohoto článku uvede tyto údaje:
že informace jsou předkládány v souladu s tímto nařízením;
zda se informace týkají:
kybernetického útoku podléhajícího hlášení podle odstavce 3;
neopravené aktivně zneužívané zranitelnosti, která není veřejně známá, uvedené v odstavci 4;
kybernetické hrozby podléhající ohlášení uvedené v odstavci 5;
v případě kybernetického útoku podléhajícího hlášení, úroveň kybernetického útoku podle metodiky stupnice pro klasifikaci kybernetických útoků uvedené v čl. 37 odst. 8 a informace vedoucí k této klasifikaci, včetně alespoň stupně kritičnosti kybernetického útoku.
Článek 39
Odhalování kybernetických útoků a nakládání se souvisejícími informacemi
Subjekty s kritickým dopadem a subjekty s vysokým dopadem:
zajistí, aby jejich vlastní jednotné kontaktní místo na úrovni subjektu mělo přístup k informacím, které obdrželo od vnitrostátního jednotného kontaktního místa prostřednictvím svého příslušného orgánu, na základě zásady „vědět jen to nejnutnější“;
pokud tak již neučinily podle čl. 3 odst. 4 směrnice (EU) 2022/2555, oznámí příslušnému orgánu členského státu, v němž jsou usazeny, a vnitrostátnímu jednotnému kontaktnímu místu seznam svých jednotných kontaktních míst na úrovni subjektu pro kybernetickou bezpečnost:
od nichž může příslušný orgán a vnitrostátní jednotné kontaktní místo očekávat, že obdrží informace o kybernetických útocích podléhajících hlášení;
jimž mohou příslušné orgány a vnitrostátní jednotná kontaktní místa poskytovat informace;
stanoví postupy pro zvládání kybernetických útoků, včetně úloh a povinností, úkolů a reakcí na základě pozorovatelného vývoje kybernetického útoku v rámci perimetru kritického dopadu a perimetru vysokého dopadu;
nejméně jednou ročně testují celkové postupy zvládání kybernetických útoků prostřednictvím testování alespoň jednoho scénáře, který přímo nebo nepřímo ovlivňuje přeshraniční toky elektřiny. Tento každoroční test mohou subjekty s kritickým dopadem a subjekty s vysokým dopadem provádět během pravidelných cvičení uvedených v článku 43. Jako každoroční test v rámci plánu reakce na kybernetické útoky může posloužit jakákoli činnost v reakci na skutečný kybernetický útok s důsledkem klasifikovaným alespoň na stupni 2 podle metodiky stupnice pro klasifikaci kybernetických útoků uvedené v čl. 37 odst. 8 a s příčinami v oblasti kybernetické bezpečnosti.
Článek 40
Krizové řízení
Ad hoc skupina pro přeshraniční krizovou koordinaci:
koordinuje účinné vyhledávání všech relevantních informací o kybernetické bezpečnosti a jejich další šíření mezi subjekty zapojené do procesu řízení krize;
organizuje komunikaci mezi všemi subjekty zasaženými krizí a příslušnými orgány s cílem omezit překrývání a zvýšit účinnost analýz a technických reakcí, které mají napravit souběžné elektroenergetické krize, jež mají příčiny v oblasti kybernetické bezpečnosti;
ve spolupráci s příslušnými týmy CSIRT poskytuje subjektům, které incident ovlivnil, potřebné odborné znalosti, včetně operativního poradenství týkajícího se provádění možných opatření ke zmírnění následků;
informuje Komisi a Koordinační skupinu pro otázky elektrické energie o stavu incidentu v souladu se zásadami ochrany stanovenými v článku 46 a své informace pravidelně aktualizuje;
vyžádá si poradenství od příslušných orgánů, agentur nebo subjektů, které by mohly být nápomocny při zmírnění krize v elektroenergetice.
Článek 41
Plány řízení kybernetických bezpečnostních krizí a reakce na kybernetické bezpečnostní krize
Subjekty s kritickým dopadem a subjekty s vysokým dopadem zajistí, aby jejich procesy řízení krizí souvisejících s kybernetickou bezpečností:
měly do svých plánů krizového řízení formálně začleněny postupy pro řešení kybernetických bezpečnostních incidentů s přeshraničním dopadem, které jsou slučitelné s postupy vymezenými v čl. 6 bodě 8 směrnice (EU) 2022/2555;
byly součástí obecných činností krizového řízení.
Do 12 měsíců od oznámení subjektů s vysokým dopadem a subjektů s kritickým dopadem podle čl. 24 odst. 6 a poté každé tři roky vypracují subjekty s kritickým dopadem a subjekty s vysokým dopadem plán krizového řízení na úrovni subjektu pro případ krize související s kybernetickou bezpečností, který bude zahrnut do jejich obecných plánů krizového řízení. Tento plán musí obsahovat alespoň tyto prvky:
pravidla pro vyhlášení krize stanovená v čl. 14 odst. 2 a 3 nařízení (EU) 2019/941;
jasné úlohy a povinnosti v rámci krizového řízení, včetně úlohy dalších příslušných subjektů s kritickým dopadem a subjektů s vysokým dopadem;
aktuální kontaktní informace a pravidla pro komunikaci a sdílení informací během krizové situace, včetně spojení s týmy CSIRT.
Subjekty s kritickým dopadem a subjekty s vysokým dopadem zahrnou své plány krizového řízení na úrovni subjektu do svých plánů kontinuity činností pro procesy s kritickým dopadem a procesy s vysokým dopadem. Plány krizového řízení na úrovni subjektu zahrnují:
procesy závisející na dostupnosti, integritě a spolehlivosti služeb IT;
všechna místa nezbytná pro zajištění kontinuity činností včetně umístění hardwaru a softwaru;
všechny interní úlohy a povinnosti spojené s procesy zajištění kontinuity činností.
Článek 42
Schopnosti včasného varování v oblasti kybernetické bezpečnosti v odvětví elektroenergetiky
Schopnosti včasného varování v oblasti kybernetické bezpečnosti v elektroenergetice umožní ENISA při plnění úkolů uvedených v čl. 7 odst. 7 nařízení (EU) 2019/881:
shromažďovat dobrovolně sdílené informace od:
týmů CSIRT a příslušných orgánů;
subjektů uvedených v článku 2 tohoto nařízení;
jakéhokoli dalšího subjektu, který chce dobrovolně sdílet příslušné informace;
posuzovat a třídit shromážděné informace;
posuzovat informace, ke kterým má ENISA přístup, pro účely určení podmínek kybernetického rizika a příslušných ukazatelů pro aspekty kybernetické bezpečnosti přeshraničních toků elektřiny;
určit podmínky a ukazatele, které často korelují s kybernetickými útoky v odvětví elektroenergetiky;
stanovit, zda je třeba provést další analýzu a preventivní opatření prostřednictvím posouzení a určení rizikových faktorů;
informovat příslušné orgány o zjištěných rizicích a doporučených preventivních opatřeních specifických pro dotčené subjekty;
informovat všechny příslušné subjekty uvedené v článku 2 o výsledcích posouzení informací podle písmen b), c) a d) tohoto odstavce;
pravidelně zahrnovat příslušné informace do zprávy o situačním povědomí vydávané v souladu s čl. 7 odst. 6 nařízení (EU) 2019/881;
pokud je to možné, odvodit ze shromážděných informací použitelné údaje, které indikují potenciální narušení bezpečnosti nebo kybernetický útok („indikátory narušení“).
ACER sleduje účinnost schopností včasného varování v oblasti kybernetické bezpečnosti v elektroenergetice. ENISA je ACER nápomocna tím, že jí poskytuje veškeré potřebné informace podle čl. 6 odst. 2 a čl. 7 odst. 1 nařízení (EU) 2019/881. Analýza této sledovací činnosti je součástí sledování podle článku 12 tohoto nařízení.
KAPITOLA VI
RÁMEC PRO CVIČENÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI ELEKTŘINY
Článek 43
Cvičení v oblasti kybernetické bezpečnosti na úrovni subjektů a členských států
Odchylně od odstavce 1 může příslušný orgán pro rizikovou připravenost po konzultaci s příslušným orgánem a příslušným orgánem pro řízení kybernetických krizí určeným nebo zřízeným podle článku 9 směrnice (EU) 2022/2555 rozhodnout o uspořádání cvičení v oblasti kybernetické bezpečnosti na úrovni členského státu, jak je popsáno v odstavci 1, namísto provedení cvičení v oblasti kybernetické bezpečnosti na úrovni subjektu. Příslušný orgán v tomto ohledu informuje:
všechny subjekty s kritickým dopadem svého členského státu, národní regulační orgán, týmy CSIRT a příslušný orgán odpovídající za kybernetickou bezpečnost, a to nejpozději do 30. června roku, který předchází cvičení v oblasti kybernetické bezpečnosti na úrovni subjektu;
každý subjekt, který se zúčastní cvičení v oblasti kybernetické bezpečnosti na úrovni členského státu, a to nejpozději 6 měsíců před jeho konáním.
Článek 44
Regionální nebo meziregionální cvičení v oblasti kybernetické bezpečnosti
Článek 45
Výsledky cvičení v oblasti kybernetické bezpečnosti na úrovni subjektů, členských států, regionů nebo na meziregionální úrovni
Pořadatelé cvičení v oblasti kybernetické bezpečnosti uvedených v čl. 43 odst. 1 a 2 a v čl. 44 odst. 1 provedou s poradenstvím ENISA, pokud o ně požádají, a podle čl. 7 odst. 5 nařízení (EU) 2019/881 analýzu příslušného cvičení v oblasti kybernetické bezpečnosti a uzavřou ho prostřednictvím zprávy shrnující získané poznatky, která je určena všem účastníkům. Zpráva musí obsahovat:
scénáře cvičení, zprávy ze schůzek, hlavní stanoviska, úspěchy a získané zkušenosti na všech úrovních hodnotového řetězce elektřiny;
informaci, zda byla splněna klíčová kritéria úspěšnosti;
seznam doporučení pro subjekty účastnící se příslušného cvičení v oblasti kybernetické bezpečnosti, jejichž účelem je opravit, upravit nebo změnit procesy a postupy řešení kybernetických bezpečnostních krizí, související modely řízení a veškeré stávající smluvní závazky s poskytovateli kritických služeb.
KAPITOLA VII
OCHRANA INFORMACÍ
Článek 46
Zásady ochrany vyměňovaných informací
Subjekty uvedené v čl. 2 odst. 1 zajistí, aby byla zavedena veškerá nezbytná ochranná opatření organizační a technické povahy k zajištění a ochraně důvěrnosti, integrity, dostupnosti a nepopiratelnosti informací poskytovaných, přijímaných, vyměňovaných nebo předávaných podle tohoto nařízení, a to nezávisle na použitých prostředcích. Ochranná opatření musí:
být přiměřená;
zohlednit kybernetická bezpečnostní rizika související se známými minulými a vznikajícími hrozbami, kterým mohou být tyto informace v souvislosti s tímto nařízením vystaveny;
pokud možno vycházet z vnitrostátních, evropských nebo mezinárodních norem a osvědčených postupů;
být zdokumentovány.
Subjekty uvedené v čl. 2 odst. 1 zajistí, aby přístup k informacím poskytovaným, přijímaným, vyměňovaným nebo předávaným podle tohoto nařízení měly pouze fyzické osoby:
které jsou oprávněny k přístupu k těmto informacím na základě svých funkcí, jenž je omezen na plnění svěřených úkolů;
u nichž byl subjekt schopen posoudit etické zásady a zásady bezúhonnosti a u nichž neexistují žádné důkazy o negativním výsledku prověrky za účelem ověřování spolehlivosti osoby v souladu s osvědčenými postupy a standardními bezpečnostními požadavky subjektu a případně s vnitrostátními právními a správními předpisy.
Subjekt uvedený v čl. 2 odst. 1 může zvážit sdílení těchto informací bez dodržení odstavců 1 a 4 tohoto článku, aby se zabránilo souběžné elektroenergetické krizi s příčinami v oblasti kybernetické bezpečnosti nebo jakékoli přeshraniční krizi v rámci Unie v jiném odvětví. V takovém případě subjekt musí:
konzultovat s příslušným orgánem a být jím oprávněn ke sdílení těchto informací;
anonymizovat tyto informace, aniž by se ztratily prvky nezbytné pro informování veřejnosti o bezprostředním a vážném riziku pro přeshraniční toky elektřiny a o možných opatřeních k jeho zmírnění;
chránit totožnost původce a subjektů, které tyto informace zpracovávají podle tohoto nařízení.
Článek 47
Důvěrnost informací
KAPITOLA VIII
ZÁVĚREČNÁ USTANOVENÍ
Článek 48
Dočasná ustanovení
Do schválení podmínek nebo metodik uvedených v čl. 6 odst. 2 nebo plánů uvedených v čl. 6 odst. 3 vypracuje ENTSO pro elektřinu ve spolupráci se subjektem EU DSO nezávazné pokyny k následujícím otázkám:
předběžný index dopadu na kybernetickou bezpečnost elektřiny („ECII“) podle odstavce 2 tohoto článku;
předběžný seznam procesů s vysokým dopadem na celou Unii a procesů s kritickým dopadem na celou Unii podle odstavce 4 tohoto článku a
předběžný seznam evropských a mezinárodních norem a kontrol vyžadovaných vnitrostátními právními předpisy, které mají význam pro aspekty kybernetické bezpečnosti přeshraničních toků elektřiny podle odstavce 6 tohoto článku.
Předběžný seznam evropských a mezinárodních norem a kontrol zahrnuje:
evropské a mezinárodní normy a vnitrostátní právní předpisy, které obsahují pokyny týkající se metodik řízení kybernetických bezpečnostních rizik na úrovni subjektů; a
kontroly kybernetické bezpečnosti odpovídající kontrolám, které by měly být součástí minimálních a pokročilých kontrol v oblasti kybernetické bezpečnosti.
Článek 49
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
( 1 ) Prováděcí nařízení Komise (EU) č. 1348/2014 ze dne 17. prosince 2014 o oznamování údajů za účelem provedení čl. 8 odst. 2 a 6 nařízení Evropského parlamentu a Rady (EU) č. 1227/2011 o integritě a transparentnosti velkoobchodního trhu s energií (Úř. věst. L 363, 18.12.2014, s. 121).
( 2 ) Nařízení Evropského parlamentu a Rady (EU) 2019/942 ze dne 5. června 2019, kterým se zřizuje Agentura Evropské unie pro spolupráci energetických regulačních orgánů (Úř. věst. L 158, 14.6.2019, s. 22).
( 3 ) Nařízení Evropského parlamentu a Rady (EU) č. 1025/2012 ze dne 25. října 2012 o evropské normalizaci, změně směrnic Rady 89/686/EHS a 93/15/EHS a směrnic Evropského parlamentu a Rady 94/9/ES, 94/25/ES, 95/16/ES, 97/23/ES, 98/34/ES, 2004/22/ES, 2007/23/ES, 2009/23/ES a 2009/105/ES, a kterým se ruší rozhodnutí Rady 87/95/EHS a rozhodnutí Evropského parlamentu a Rady č. 1673/2006/ES (Úř. věst. L 316, 14.11.2012, s. 12).
( 4 ) Rozhodnutí Komise ze dne 15. listopadu 2012, kterým se zřizuje Koordinační skupina pro otázky elektrické energie (2012/C353/02) (Úř. věst. C 353, 17.11.2012, s. 2).
( 5 ) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).
( 6 ) Směrnice Evropského parlamentu a Rady 2014/24/EU ze dne 26. února 2014 o zadávání veřejných zakázek a o zrušení směrnice 2004/18/ES (Úř. věst. L 94, 28.3.2014, s. 65).