Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
In- en Uitvoer
Home

Gedelegeerde Verordening (EU) 2024/1366 van de Commissie van 11 maart 2024 tot aanvulling van Verordening (EU) 2019/943 van het Europees Parlement en de Raad door middel van de vaststelling van een netcode inzake sectorspecifieke regels voor met cyberbeveiliging samenhangende aspecten van grensoverschrijdende elektriciteitsstromen (Voor de EER relevante tekst)

Gedelegeerde Verordening (EU) 2024/1366 van de Commissie van 11 maart 2024 tot aanvulling van Verordening (EU) 2019/943 van het Europees Parlement en de Raad door middel van de vaststelling van een netcode inzake sectorspecifieke regels voor met cyberbeveiliging samenhangende aspecten van grensoverschrijdende elektriciteitsstromen (Voor de EER relevante tekst)

HOOFDSTUK I ALGEMENE BEPALINGEN

Artikel 1 Voorwerp

Bij deze verordening wordt een netcode vastgesteld die sectorspecifieke voorschriften bevat voor met cyberbeveiliging samenhangende aspecten van grensoverschrijdende elektriciteitsstromen, regels over gemeenschappelijke minimumvereisten, planning, toezicht, rapportage en crisisbeheer.

Artikel 2 Toepassingsgebied

1.

Deze verordening is van toepassing op met cyberbeveiliging samenhangende aspecten van grensoverschrijdende elektriciteitsstromen in de activiteiten van de volgende entiteiten, indien deze overeenkomstig artikel 24 zijn aangemerkt als entiteiten met zeer belangrijke impact of met kritieke impact:

  1. elektriciteitsbedrijven in de zin van artikel 2, punt 57, van Richtlijn (EU) 2019/944;

  2. benoemde elektriciteitsmarktbeheerders (“NEMO”) in de zin van artikel 2, punt 8, van Richtlijn (EU) 2019/943;

  3. georganiseerde markten in de zin van artikel 2, lid 4, van Uitvoeringsverordening (EU) nr. 1348/2014 van de Commissie(1) die transacties regelen met betrekking tot producten die van belang zijn voor grensoverschrijdende elektriciteitsstromen;

  4. aanbieders van kritieke ICT-diensten als bedoeld in artikel 3, punt 9;

  5. het ENTSB voor elektriciteit, opgericht krachtens artikel 28 van Verordening (EU) 2019/943;

  6. de EU DSB-entiteit, opgericht krachtens artikel 52 van Verordening (EU) 2019/943;

  7. balanceringsverantwoordelijken in de zin van artikel 2, punt 14, van Verordening (EU) 2019/943;

  8. exploitanten van laadpunten in de zin van bijlage I bij Richtlijn (EU) 2022/2555;

  9. regionale coördinatiecentra, opgericht krachtens artikel 35 van Verordening (EU) 2019/943;

  10. aanbieders van beheerde beveiligingsdiensten in de zin van artikel 6, punt 40, van Richtlijn (EU) 2022/2555;

  11. iedere andere entiteit of derde waaraan overeenkomstig deze verordening bevoegdheden zijn gedelegeerd of toegewezen.

2.

De volgende autoriteiten zijn, in het kader van hun huidige opdracht, verantwoordelijk voor het verrichten van de in deze verordening toegewezen werkzaamheden:

  1. het Agentschap van de Europese Unie voor de samenwerking tussen energieregulators (“ACER”), opgericht bij Verordening (EU) 2019/942 van het Europees Parlement en de Raad(2);

  2. nationale bevoegde instanties die belast zijn met het verrichten van de werkzaamheden die hun uit hoofde van deze verordening zijn toegewezen en door de lidstaten zijn aangeduid overeenkomstig artikel 4, ofwel “bevoegde instantie”;

  3. nationale regelgevende instanties (“NRI’s”) die door elke lidstaat zijn aangewezen overeenkomstig artikel 57, lid 1, van Richtlijn (EU) 2019/944;

  4. bevoegde instanties voor risicoparaatheid (“RP-NCA’s”), opgericht overeenkomstig artikel 3 van Verordening (EU) 2019/941;

  5. computer security incident response teams (“CSIRT’s”), zoals aangewezen of opgericht overeenkomstig artikel 10 van Richtlijn (EU) 2022/2555;

  6. bevoegde instanties, verantwoordelijk voor cyberbeveiliging (“CS-NCA’s”), zoals aangewezen of opgericht overeenkomstig artikel 8 van Richtlijn (EU) 2022/2555;

  7. het Agentschap van de Europese Unie voor cyberbeveiliging, opgericht overeenkomstig Verordening (EU) 2019/881;

  8. iedere andere entiteit of derde waaraan overeenkomstig artikel 4, lid 3, bevoegdheden zijn gedelegeerd of toegewezen.

3.

Deze verordening is ook van toepassing op alle entiteiten die niet in de Unie zijn gevestigd, maar die diensten verlenen aan entiteiten in de Unie, mits zij door de bevoegde instanties overeenkomstig artikel 24, lid 2, als entiteiten met zeer belangrijke impact of met kritieke impact zijn aangemerkt.

4.

Deze verordening laat de verantwoordelijkheid van de lidstaten onverlet om de nationale veiligheid te beschermen en hun bevoegdheid om andere essentiële staatsfuncties te beschermen, waaronder de verdediging van de territoriale integriteit van de staat en de handhaving van de openbare orde.

5.

Deze verordening laat de verantwoordelijkheid van de lidstaten onverlet om de nationale veiligheid te beschermen met betrekking tot activiteiten op het gebied van de productie van elektriciteit uit kerncentrales, met inbegrip van activiteiten binnen de nucleaire waardeketen, overeenkomstig de Verdragen.

6.

Entiteiten, de bevoegde instanties, de centrale contactpunten op entiteitsniveau en de CSIRT’s verwerken persoonsgegevens voor zover dat nodig is voor de toepassing van deze verordening en overeenkomstig Verordening (EU) 2016/679, en met name berust een dergelijke verwerking op artikel 6 daarvan.

Artikel 3 Definities

De volgende definities zijn van toepassing:

  1. “actief”: informatie, software of hardware in de netwerk- en informatiesystemen, materieel of immaterieel, die van waarde is voor een persoon, een organisatie of een overheid;

  2. “bevoegde instantie voor risicoparaatheid”: de overeenkomstig artikel 3 van Verordening (EU) 2019/941 opgerichte bevoegde instantie;

  3. ”computer security incident response team”: een team dat verantwoordelijk is voor de behandeling van risico’s en incidenten overeenkomstig artikel 10 van Richtlijn (EU) 2022/2555;

  4. “actief met kritieke impact”: een actief dat noodzakelijk is om een proces met kritieke impact uit te voeren;

  5. “entiteit met kritieke impact”: een entiteit die een proces met kritieke impact uitvoert en door de bevoegde instanties overeenkomstig artikel 24 is aangemerkt;

  6. “perimeter van kritieke impact”: een door een in artikel 2, lid 1, bedoelde entiteit gedefinieerde perimeter die alle activa met kritieke impact omvat en op welk punt de toegang tot die activa kan worden gecontroleerd, en die het toepassingsgebied definieert waarop geavanceerde cyberbeveiligingscontroles van toepassing zijn;

  7. “proces met kritieke impact”: een bedrijfsproces dat wordt uitgevoerd door een entiteit waarvoor de impactindices voor de cyberbeveiliging van elektriciteit boven de drempel voor kritieke impact liggen;

  8. “drempel voor kritieke impact”: de waarden van de in artikel 19, lid 3, punt b), bedoelde impactindices voor de cyberbeveiliging van elektriciteit, waarboven een cyberaanval op een bedrijfsproces een kritieke verstoring van grensoverschrijdende elektriciteitsstromen veroorzaakt;

  9. “aanbieder van kritieke ICT-diensten”: een entiteit die een ICT-dienst of een ICT-proces aanbiedt die of dat noodzakelijk is voor een proces met kritieke impact of een proces met zeer belangrijke impact dat van invloed is op de met cyberbeveiliging samenhangende aspecten van grensoverschrijdende elektriciteitsstromen en dat, indien het in gevaar komt, een cyberaanval kan veroorzaken met gevolgen boven de drempel voor kritieke impact of voor zeer belangrijke impact;

  10. “grensoverschrijdende elektriciteitsstroom”: een grensoverschrijdende stroom in de zin van artikel 2, punt 3, van Verordening (EU) 2019/943;

  11. “cyberaanval”: een incident in de zin van artikel 3, punt 14, van Verordening (EU) 2022/2554;

  12. “cyberbeveiliging”: cyberbeveiliging in de zin van artikel 2, punt 1, van Verordening (EU) 2019/881;

  13. “cyberbeveiligingscontrole”: de acties of procedures om cyberbeveiligingsrisico’s te vermijden, op te sporen, tegen te gaan of tot een minimum te beperken;

  14. “cyberbeveiligingsincident”: een incident in de zin van artikel 6, punt 6, van Richtlijn (EU) 2022/2555;

  15. “cyberbeveiligingsbeheersysteem”: het beleid, de procedures, de richtsnoeren en de bijbehorende middelen en activiteiten, gezamenlijk beheerd door een entiteit, ter bescherming van haar informatieactiva tegen cyberdreigingen, waarbij de beveiliging van het netwerk en de informatiesystemen van een organisatie stelselmatig wordt vastgesteld, uitgevoerd, geëxploiteerd, gemonitord, geëvalueerd, onderhouden en verbeterd;

  16. “operationeel centrum voor cyberbeveiliging”: een speciaal centrum waar een technisch team van een of meer deskundigen, ondersteund door cyberbeveiligingsystemen, beveiligingstaken uitvoert (diensten van het operationeel centrum voor cyberbeveiliging), zoals de reactie op cyberaanvallen en de behandeling van fouten in de beveiligingsconfiguratie, beveiligingsmonitoring, loganalyse en cyberaanvaldetectie;

  17. “cyberdreiging”: een cyberdreiging in de zin van artikel 2, punt 8, van Verordening (EU) 2019/881;

  18. “kwetsbaarheidsbeheer op het gebied van cyberbeveiliging”: de praktijk om kwetsbaarheden in kaart te brengen en aan te pakken;

  19. “entiteit”: een entiteit in de zin van artikel 6, punt 38, van Richtlijn (EU) 2022/2555;

  20. “vroegtijdige waarschuwing”: de informatie die nodig is om aan te geven of het significante incident veroorzaakt wordt geacht door onrechtmatige of kwaadwillige handelingen, en of het grensoverschrijdende gevolgen kan hebben;

  21. “impactindex voor de cyberbeveiliging van elektriciteit” (“ECII”): een index of classificatieschema waarin de mogelijke gevolgen van cyberaanvallen voor bedrijfsprocessen voor grensoverschrijdende elektriciteitsstromen worden gerangschikt;

  22. “Europese cyberbeveiligingscertificeringsregeling”: een regeling in de zin van artikel 2, punt 9, van Verordening (EU) 2019/881;

  23. “entiteit met zeer belangrijke impact”: een entiteit die een proces met zeer belangrijke impact uitvoert en door de bevoegde instanties overeenkomstig artikel 24 is aangemerkt;

  24. “proces met zeer belangrijke impact”: een bedrijfsproces dat wordt uitgevoerd door een entiteit waarvoor de impactindices voor de cyberbeveiliging van elektriciteit boven de drempel voor zeer belangrijke impact liggen;

  25. “actief met zeer belangrijke impact”: een actief dat noodzakelijk is om een proces met zeer belangrijke impact uit te voeren;

  26. “drempel voor zeer belangrijke impact”: de waarden van de in artikel 19, lid 3, punt b), bedoelde impactindices voor de cyberbeveiliging van elektriciteit, waarboven een geslaagde cyberaanval op een proces een zeer belangrijke verstoring van grensoverschrijdende elektriciteitsstromen veroorzaakt;

  27. “perimeter van zeer belangrijke impact”: een door een in artikel 2, lid 1, bedoelde entiteit gedefinieerde perimeter die alle activa met zeer belangrijke impact omvat en op welk punt de toegang tot die activa kan worden gecontroleerd, en die het toepassingsgebied definieert waarop minimale cyberbeveiligingscontroles van toepassing zijn;

  28. “ICT-product”: een ICT-product in de zin van artikel 2, punt 12, van Verordening (EU) 2019/881;

  29. “ICT-dienst”: een ICT-dienst in de zin van artikel 2, punt 13, van Verordening (EU) 2019/881;

  30. “ICT-proces”: een ICT-proces in de zin van artikel 2, punt 14, van Verordening (EU) 2019/881;

  31. “legacy-systeem”: een legacy-ICT-systeem in de zin van artikel 3, punt 3, van Verordening (EU) 2022/2554;

  32. “nationaal centraal contactpunt”: het centrale contactpunt dat door iedere lidstaat is aangewezen of ingesteld overeenkomstig artikel 8, lid 3, van Richtlijn (EU) 2022/2555;

  33. “NIS-cybercrisisbeheerautoriteiten”: de autoriteiten die zijn aangewezen of ingesteld overeenkomstig artikel 9, punt 1, van Richtlijn (EU) 2022/2555;

  34. “opsteller”: een entiteit die informatie-uitwisseling, informatiedeling of informatieopslag opstelt;

  35. “aanbestedingsspecificaties”: de specificaties die entiteiten vaststellen voor de aanbesteding van nieuwe of geactualiseerde ICT-producten, -processen of -diensten;

  36. “vertegenwoordiger”: een in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om op te treden namens een entiteit met zeer belangrijke impact of met kritieke impact die niet in de Unie is gevestigd, maar diensten levert aan entiteiten in de Unie en die door een bevoegde instantie of een CSIRT kan worden aangesproken in de plaats van de entiteit met zeer belangrijke impact of met kritieke impact zelf ten aanzien van de verplichtingen van die entiteit uit hoofde van deze verordening;

  37. “risico”: een risico in de zin van artikel 6, punt 9, van Richtlijn (EU) 2022/2555;

  38. “risicoimpactmatrix”: een matrix die bij een risicobeoordeling wordt gebruikt om het resulterende risicoimpactniveau per beoordeeld risico te bepalen;

  39. “gelijktijdige elektriciteitscrisis”: een elektriciteitscrisis in de zin van artikel 2, punt 10, van Verordening (EU) 2019/941;

  40. “centraal contactpunt op entiteitsniveau”: centraal contactpunt op entiteitsniveau zoals aangemerkt krachtens artikel 38, lid 1, punt c);

  41. “belanghebbende”: een partij die belang heeft bij het welslagen en de voortdurende werking van een organisatie of proces, zoals werknemers, bestuurders, aandeelhouders, regelgevers, organisaties, leveranciers en klanten;

  42. “norm”: een norm in de zin van artikel 2, punt 1, van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad(3);

  43. “systeembeheersregio”: de systeembeheersregio’s in de zin van bijlage I bij ACER-besluit 05-2022 inzake de definitie van systeembeheersregio’s, vastgesteld overeenkomstig artikel 36 van Verordening (EU) 2019/943;

  44. “systeembeheerders”: “distributiesysteembeheerder” (“DSB”) en “transmissiesysteembeheerder” (“TSB”) in de zin van de artikelen 2, punten 29 en 35, van Richtlijn (EU) 2019/944;

  45. “Uniebreed proces met kritieke impact”: een proces in de elektriciteitssector, waarbij mogelijk meerdere entiteiten betrokken zijn, waarbij de mogelijke gevolgen van een cyberaanval kritiek kunnen worden geacht bij de uitvoering van de Uniebrede cyberbeveiligingsrisicobeoordeling;

  46. “Uniebreed proces met zeer belangrijke impact”: een proces in de elektriciteitssector, waarbij mogelijk meerdere entiteiten betrokken zijn, waarbij de mogelijke gevolgen van een cyberaanval zeer belangrijk kunnen worden geacht bij de uitvoering van de Uniebrede cyberbeveiligingsrisicobeoordeling;

  47. “actief uitgebuite nog niet verholpen kwetsbaarheid”: een kwetsbaarheid die nog niet openbaar is gemaakt en nog niet is verholpen, en waarvoor er betrouwbare aanwijzingen zijn dat een partij een kwaadaardige code in een systeem heeft uitgevoerd zonder toestemming van de systeemeigenaar;

  48. “kwetsbaarheid”: een kwetsbaarheid in de zin van artikel 6, punt 15, van Richtlijn (EU) 2022/2555.

Artikel 4 Bevoegde instantie

1.

Elke lidstaat wijst zo spoedig mogelijk en in elk geval uiterlijk 13 december 2024 een nationale overheidsinstantie of een nationale regelgevende instantie aan om de bij deze verordening daaraan toegewezen werkzaamheden te verrichten (“bevoegde instantie”). Tot het moment dat de bevoegde instantie belast is met de verrichting van de werkzaamheden uit hoofde van deze verordening, verricht de overeenkomstig artikel 57, lid 1, van Richtlijn (EU) 2019/944 door elke lidstaat aangewezen regelgevende instantie de werkzaamheden van de bevoegde instantie overeenkomstig deze verordening.

2.

De lidstaten stellen de Commissie, ACER, Enisa, de bij artikel 14 van Richtlijn (EU) 2022/2555 opgerichte NIS-samenwerkingsgroep en de bij artikel 1 van het besluit van de Commissie van 15 november 2012(4) opgerichte Coördinatiegroep voor elektriciteit onverwijld in kennis van, en delen hun de naam en de contactgegevens van hun overeenkomstig lid 1 aangewezen bevoegde instantie en alle latere wijzigingen daarvan mee.

3.

De lidstaten kunnen hun bevoegde instantie machtigen aan andere nationale instanties werkzaamheden te delegeren, met uitzondering van de in artikel 5 genoemde werkzaamheden. Iedere bevoegde instantie houdt toezicht op de toepassing van deze verordening door de instanties waaraan zij werkzaamheden heeft gedelegeerd. De bevoegde instantie deelt de naam, de contactgegevens, de toegewezen werkzaamheden en alle latere wijzigingen daarvan van de instanties waaraan een taak is gedelegeerd, aan de Commissie, ACER, de Coördinatiegroep voor elektriciteit, Enisa en de NIS-samenwerkingsgroep mee.

Artikel 5 Samenwerking tussen instanties en organen op nationaal niveau

Artikel 6 Voorwaarden of methoden of plannen

Artikel 7 Stemregels in de TSB’s

Artikel 8 Indiening van voorstellen bij de bevoegde instanties

Artikel 9 Overleg

Artikel 10 Betrokkenheid van belanghebbenden

Artikel 11 Verhaal van kosten

Artikel 12 Toezicht

Artikel 13 Benchmarking

Artikel 14 Overeenkomsten met TSB’s van buiten de Unie

Artikel 15 Wettelijke vertegenwoordigers

Artikel 16 Samenwerking tussen het ENTSB voor elektriciteit en de EU DSB-entiteit

Artikel 17 Samenwerking tussen ACER en de bevoegde instanties

HOOFDSTUK II RISICOBEOORDELING EN AANDUIDING VAN DE RELEVANTE CYBERBEVEILIGINGSRISICO’S

Artikel 18 Beoordelingsmethoden voor cyberbeveiligingsrisico’s

Artikel 19 Uniebrede cyberbeveiligingsrisicobeoordelingen

Artikel 20 Cyberbeveiligingsrisicobeoordelingen op het niveau van de lidstaten

Artikel 21 Regionale cyberbeveiligingsrisicobeoordelingen

Artikel 22 Regionale plannen ter beperking van cyberbeveiligingsrisico’s

Artikel 23 Uitgebreid beoordelingsverslag over grensoverschrijdende cyberbeveiligingsrisico’s voor elektriciteit

Artikel 24 Aanmerking van entiteiten met zeer belangrijke impact of met kritieke impact

Artikel 25 Nationale verificatieregelingen

Artikel 26 Beheer van cyberbeveiligingsrisico’s op entiteitsniveau

Artikel 27 Rapportage over risicobeoordelingen op entiteitsniveau

HOOFDSTUK III GEMEENSCHAPPELIJK CYBERBEVEILIGINGSKADER VOOR ELEKTRICITEIT

Artikel 28 Samenstelling, werking en evaluatie van het gemeenschappelijke cyberbeveiligingskader voor elektriciteit

Artikel 29 Minimale en geavanceerde cyberbeveiligingscontroles

Artikel 30 Afwijkingen van de minimale en geavanceerde cyberbeveiligingscontroles

Artikel 31 Verificatie van het gemeenschappelijke cyberbeveiligingskader voor elektriciteit

Artikel 32 Cyberbeveiligingsbeheersysteem

Artikel 33 Minimale en geavanceerde cyberbeveiligingscontroles in de toeleveringsketen

Artikel 34 Verwijzingsmatrix voor cyberbeveiligingscontroles voor elektriciteit tegenover de normen

HOOFDSTUK IV AANBEVELINGEN VOOR AANBESTEDINGEN OP HET GEBIED VAN CYBERBEVEILIGING

Artikel 35 Aanbevelingen voor aanbestedingen op het gebied van cyberbeveiliging

Artikel 36 Richtsnoeren voor het gebruik van Europese cyberbeveiligingscertificeringsregelingen voor de aanschaf van ICT-producten, -diensten en -processen

HOOFDSTUK V INFORMATIESTROMEN, CYBERAANVALLEN EN CRISISBEHEERSING

Artikel 37 Regels voor het delen van informatie

Artikel 38 Rol van entiteiten met zeer belangrijke impact of met kritieke impact bij het delen van informatie

Artikel 39 Opsporing van cyberaanvallen en behandeling van gerelateerde informatie

Artikel 40 Crisisbeheer

Artikel 41 Crisisbeheer- en -responsplannen op het gebied van cyberbeveiliging

Artikel 42 Capaciteit voor vroegtijdige waarschuwing op het gebied van cyberbeveiliging voor de elektriciteitssector

HOOFDSTUK VI KADER VOOR CYBERBEVEILIGINGSOEFENINGEN OP HET GEBIED VAN ELEKTRICITEIT

Artikel 43 Cyberbeveiligingsoefeningen op het niveau van de entiteit en van de lidstaten

Artikel 44 Regionale of regio-overschrijdende cyberbeveiligingsoefeningen

Artikel 45 Resultaat van cyberbeveiligingsoefeningen op entiteits-, lidstaat-, regionaal of regio-overschrijdend niveau

HOOFDSTUK VII BESCHERMING VAN INFORMATIE

Artikel 46 Beginselen voor de bescherming van uitgewisselde informatie

Artikel 47 Vertrouwelijkheid van informatie

HOOFDSTUK VIII SLOTBEPALINGEN

Artikel 48 Tijdelijke bepalingen

Artikel 49 Inwerkingtreding