Règlement délégué (UE) 2024/1366 de la Commission du 11 mars 2024 complétant le règlement (UE) 2019/943 du Parlement européen et du Conseil en établissant un code de réseau sur des règles sectorielles concernant les aspects liés à la cybersécurité des flux transfrontaliers d’électricité (Texte présentant de l’intérêt pour l’EEE)

1. Le présent règlement s’applique aux aspects liés à la cybersécurité des flux transfrontaliers d’électricité dans le cadre des activités des entités suivantes, si elles sont identifiées comme des entités à fort impact ou à impact critique conformément à l’article 24:

2. Dans le cadre de leurs mandats actuels, les autorités suivantes sont chargées d’exécuter les tâches assignées par le présent règlement:

3. Le présent règlement s’applique également à toutes les entités qui ne sont pas établies dans l’Union mais qui fournissent des services à des entités dans l’Union, pour autant qu’elles aient été identifiées comme des entités à fort impact ou à impact critique par les autorités compétentes conformément à l’article 24, paragraphe 2.

4. Le présent règlement est sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité nationale et de leur pouvoir de sauvegarder d’autres fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer l’intégrité territoriale de l’État et de maintenir l’ordre public.

5. Le présent règlement est sans préjudice de la responsabilité des États membres de préserver la sécurité nationale en ce qui concerne les activités de production d’électricité à partir de centrales nucléaires, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités.

6. Les entités, les autorités compétentes, les points de contact uniques au niveau des entités et les CSIRT traitent les données à caractère personnel dans la mesure nécessaire aux fins du présent règlement et conformément au règlement (UE) 2016/679; ce traitement est fondé en particulier sur l’article 6 dudit règlement.

1. Dès que possible et, en tout état de cause, au plus tard le 13 décembre 2024 , chaque État membre désigne une autorité gouvernementale ou réglementaire nationale chargée d’exécuter les tâches qui lui sont assignées par le présent règlement (ci-après dénommée «autorité compétente»). Jusqu’à ce que l’autorité compétente se soit vu assigner les tâches prévues par le présent règlement, l’autorité de régulation désignée par chaque État membre conformément à l’article 57, paragraphe 1, de la directive (UE) 2019/944 exécute les tâches de l’autorité compétente conformément au présent règlement.

2. Les États membres notifient sans tarder à la Commission, à l’ACER, à l’ENISA, au groupe de coopération SRI établi conformément à l’article 14 de la directive (UE) 2022/2555 et au groupe de coordination pour l’électricité institué conformément à l’article 1er de la décision de la Commission du 15 novembre 2012 (17) et leur communiquent le nom et les coordonnées de leur autorité compétente désignée en application du paragraphe 1 du présent article, ainsi que toute modification ultérieure y afférente.

3. Les États membres peuvent autoriser leur autorité compétente à déléguer les tâches qui lui sont assignées par le présent règlement à d’autres autorités nationales, à l’exception des tâches énumérées à l’article 5. Chaque autorité compétente contrôle l’application du présent règlement par les autorités auxquelles elle a délégué des tâches. L’autorité compétente communique le nom, les coordonnées, les tâches assignées et toute modification ultérieure des autorités auxquelles une tâche a été déléguée à la Commission, à l’ACER, au groupe de coordination pour l’électricité, à l’ENISA et au groupe de coopération SRI.

1. Les GRT élaborent, en coopération avec l’entité des GRD de l’Union, des propositions de modalités et conditions ou de méthodes conformément au paragraphe 2, ou de plans conformément au paragraphe 3.

2. Les propositions concernant les modalités et conditions ou méthodes et chacune de leurs modifications sont soumises à l’approbation de l’Agence:

3. Les propositions de plans régionaux d’atténuation des risques de cybersécurité en application de l’article 22 sont soumises à l’approbation de toutes les autorités compétentes de la région d’exploitation du réseau concernée.

4. Les propositions de modalités et conditions ainsi que de méthodes énumérées au paragraphe 2 ou de plans énumérés au paragraphe 3 comprennent une proposition de calendrier pour leur mise en œuvre et une description de leur incidence attendue sur les objectifs du présent règlement.

5. L’entité des GRD de l’Union peut adresser un avis motivé aux GRT concernés jusqu’à 3 semaines avant la date limite de soumission de la proposition de modalités et conditions, de méthodes ou de plans aux autorités compétentes. Les GRT responsables de la proposition de modalités et conditions ou de méthodes ou de plans tiennent compte de l’avis motivé de l’entité des GRD de l’Union avant de le soumettre à l’approbation des autorités compétentes. Les GRT fournissent une motivation lorsque l’avis de l’entité des GRD de l’Union n’est pas pris en compte.

6. Lorsqu’ils élaborent conjointement les modalités, conditions et méthodes et plans, les GRT participants coopèrent étroitement. Les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, informent régulièrement les autorités compétentes et l’ACER des progrès accomplis dans l’élaboration des modalités et conditions, des méthodes ou des plans.

1. Lorsque les GRT statuant sur des propositions de modalités et conditions ou de méthodes ne sont pas en mesure de parvenir à un accord, ils statuent à la majorité qualifiée. La majorité qualifiée pour ces propositions est calculée comme suit:

2. La minorité de blocage pour les décisions relatives aux propositions de modalités et conditions ou de méthodologies visées à l’article 6, paragraphe 2, doit inclure des GRT représentant au moins quatre États membres, faute de quoi la majorité qualifiée est réputée acquise.

3. Lorsque les GRT d’une région d’exploitation du réseau qui décident des propositions de plans énumérés à l’article 6, paragraphe 2, ne sont pas en mesure de parvenir à un accord, et lorsque la région d’exploitation du réseau concernée est composée de plus de cinq États membres, les GRT statuent à la majorité qualifiée. La majorité qualifiée pour les propositions visées à l’article 6, paragraphe 2, correspond à la majorité suivante:

4. Une minorité de blocage pour les décisions sur les propositions de plans doit inclure au moins le nombre minimum de GRT représentant plus de 35 % de la population des États membres participants, plus un ensemble de GRT représentant au moins un État membre supplémentaire concerné, faute de quoi la majorité qualifiée est réputée acquise.

5. Pour les décisions des GRT relatives aux propositions de modalités et conditions ou de méthodes visées à l’article 6, paragraphe 2, une seule voix est attribuée par État membre. S’il existe plusieurs GRT sur le territoire d’un État membre, cet État membre répartit les droits de vote entre les GRT.

6. Si, en coopération avec l’entité des GRD de l’Union, les GRT ne soumettent pas de proposition initiale ou modifiée de modalités et conditions ou de méthodes, ou de plans, aux autorités compétentes concernées dans les délais fixés dans le présent règlement, ils fournissent aux autorités compétentes concernées et à l’ACER les projets pertinents de modalités et conditions, de méthodes ou de plans. Ils expliquent ce qui a empêché un accord. Les autorités compétentes prennent conjointement les mesures appropriées en vue de l’adoption des modalités et conditions ou des méthodes requises, ou des plans requis. Cela peut se faire, par exemple, en demandant des modifications aux projets conformément au présent paragraphe, en révisant et en complétant ces projets ou, lorsque aucun projet n’a été fourni, en définissant et en approuvant les modalités et conditions, les méthodes ou les plans requis.

1. Les GRT soumettent les propositions de modalités et conditions ou de méthodes, ou de plans, pour approbation, aux autorités compétentes concernées dans les délais respectifs fixés aux articles 18, 23, 29, 33, 34, 35 et 37. Les autorités compétentes peuvent prolonger conjointement ces délais dans des circonstances exceptionnelles, notamment dans les cas où un délai ne peut être respecté en raison de circonstances extérieures à la sphère des GRT ou de l’entité des GRD de l’Union.

2. Les propositions de modalités et conditions, de méthodes ou de plans en application du paragraphe 1 sont soumises pour information à l’ACER au moment où elles sont soumises aux autorités compétentes.

3. À la demande conjointe des ARN, l’ACER émet un avis sur la proposition de modalités et conditions ou de méthodes, ou de plans, dans un délai de six mois à compter de la réception des propositions de modalités et conditions ou de méthodes, ou de plans, et notifie cet avis aux ARN et aux autorités compétentes. Les ARN, les ANC-CS et toute autre autorité désignée comme autorité compétente se coordonnent avant que les ARN ne demandent un avis à l’ACER. L’ACER peut inclure des recommandations dans cet avis. L’ACER consulte l’ENISA avant d’émettre un avis sur les propositions énumérées à l’article 6, paragraphe 2.

4. Les autorités compétentes se consultent, coopèrent et se coordonnent étroitement afin de parvenir à un accord sur les modalités et conditions, méthodes ou plans proposés. Avant d’approuver les modalités et conditions ou les méthodes, ou les plans, elles révisent et complètent les propositions si nécessaire, après consultation du REGRT pour l’électricité et de l’entité des GRD de l’Union, afin de veiller à ce que les propositions soient conformes au présent règlement et contribuent à un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.

5. Les autorités compétentes se prononcent sur les modalités et conditions, sur les méthodes ou sur les plans dans un délai de six mois à compter de la réception des modalités et conditions, des méthodes ou des plans par l’autorité compétente concernée ou, le cas échéant, par la dernière autorité compétente concernée.

6. Lorsque l’ACER émet un avis, les autorités compétentes concernées tiennent compte de cet avis et prennent leurs décisions dans un délai de six mois à compter de la réception de l’avis de l’ACER.

7. Lorsque les autorités compétentes exigent conjointement une modification des modalités et conditions ou des méthodes proposées, ou des plans, afin de les approuver, les GRT élaborent, en coopération avec l’entité des GRD de l’Union, une proposition de modification des modalités et conditions ou des méthodes, ou des plans. Les GRT soumettent la proposition modifiée pour approbation dans un délai de deux mois à compter de la demande des autorités compétentes. Les autorités compétentes statuent sur les modalités et conditions, les méthodes ou les plans modifiés dans un délai de deux mois à compter de sa soumission.

8. Lorsque les autorités compétentes n’ont pas été en mesure de parvenir à un accord dans le délai prévu au paragraphe 5 ou 7, elles en informent la Commission. La Commission peut prendre les mesures appropriées pour permettre l’adoption des modalités et conditions, des méthodes ou des plans requis.

9. Les GRT, avec l’aide du REGRT pour l’électricité, et de l’entité des GRD de l’Union, publient les modalités et conditions, les méthodes ou les plans sur leurs sites internet après approbation par les autorités compétentes concernées, sauf lorsque ces informations sont considérées comme confidentielles conformément à l’article 47.

10. Les autorités compétentes peuvent demander conjointement aux GRT et à l’entité des GRD de l’Union des propositions de modification des modalités et conditions ou des méthodes approuvées, ou des plans approuvés, et fixer un délai pour la soumission de ces propositions. Les GRT, en coopération avec l’entité des GRD de l’Union, peuvent également proposer des modifications aux autorités compétentes de leur propre initiative. Les propositions de modification des modalités et conditions, des méthodes ou des plans sont élaborées et approuvées conformément à la procédure prévue au présent article.

11. Au moins tous les trois ans après la première adoption des modalités et conditions, des méthodes ou des plans, les GRT, en coopération avec l’entité des GRD de l’Union, examinent l’efficacité des modalités et conditions, des méthodes ou des plans adoptés, et communiquent les conclusions de cet examen aux autorités compétentes et à l’ACER dans les meilleurs délais.

1. Les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, consultent les parties prenantes, y compris l’ACER, l’ENISA et l’autorité compétente de chaque État membre, sur les projets de propositions de modalités et conditions ou de méthodes énumérés à l’article 6, paragraphe 2, et de plans visés à l’article 6, paragraphe 3. La durée de la consultation n’est pas inférieure à un mois.

2. Les propositions de modalités et conditions ou de méthodes énumérées à l’article 6, paragraphe 2 soumises par les GRT, en coopération avec l’entité des GRD de l’Union, sont publiées et soumises à consultation au niveau de l’Union. Les propositions de plans énumérées à l’article 6, paragraphe 3, soumises par les GRT compétents, en coopération avec l’entité des GRD de l’Union, au niveau régional sont soumises à consultation au moins au niveau régional.

3. Les GRT, avec l’aide du REGRT pour l’électricité, et de l’entité des GRD de l’Union responsable de la proposition de modalités et conditions ou de méthodes ou de plans tiennent dûment compte des avis des parties prenantes résultant des consultations menées conformément au paragraphe 1, avant de le soumettre pour approbation par les autorités de régulation. En tout état de cause, les raisons précises pour lesquelles les avis exprimés lors de la consultation ont été ou non pris en considération sont jointes à la soumission, et publiées en temps utile, avant ou en même temps que la proposition de modalités et conditions ou de méthodes.

1. Les coûts supportés par les GRT et les GRD soumis à la réglementation tarifaire du réseau et découlant des obligations prévues par le présent règlement, y compris les coûts supportés par le REGRT pour l’électricité et l’entité des GRD de l’Union, sont évalués par l’ARN compétente de chaque État membre.

2. Les coûts jugés raisonnables, efficaces et proportionnés sont récupérés au moyen de tarifs de réseau ou d’autres mécanismes appropriés, tels que déterminés par l’ARN compétente.

3. À la demande des ARN compétentes, les GRT et les GRD visés au paragraphe 1 fournissent, dans un délai raisonnable déterminé par l’ARN, les informations nécessaires pour faciliter l’évaluation des coûts encourus.

1. L’ACER surveille la mise en œuvre du présent règlement conformément à l’article 32, paragraphe 1, du règlement (UE) 2019/943 et à l’article 4, paragraphe 2, du règlement (CE) no 2019/942. Dans le cadre de cette surveillance, l’ACER peut coopérer avec l’ENISA et demander le soutien de l’ENTSO pour l’électricité et de l’entité des GRD de l’Union. L’ACER informe régulièrement le groupe de coordination pour l’électricité et le groupe de coopération SRI sur la mise en œuvre du présent règlement.

2. L’ACER publie un rapport au moins tous les trois ans après l’entrée en vigueur du présent règlement afin:

3. Au plus tard le 13 juin 2025 , l’ACER, en coopération avec l’ENISA et après consultation du REGRT pour l’électricité et de l’entité des GRD de l’Union, peut publier des orientations sur les informations pertinentes devant être communiquées à l’ACER aux fins de la surveillance ainsi que sur le processus et la fréquence de la collecte, sur la base des indicateurs de performance définis conformément au paragraphe 5.

4. Les autorités compétentes peuvent avoir accès aux informations pertinentes détenues par l’ACER qu’elle a collectées conformément au présent article.

5. L’ACER, en coopération avec l’ENISA et avec le soutien du REGRT pour l’électricité et de l’entité des GRD de l’Union, publie des indicateurs de performance non contraignants pour l’évaluation de la fiabilité opérationnelle qui sont liés aux aspects de cybersécurité des flux transfrontaliers d’électricité.

6. Les entités énumérées à l’article 2, paragraphe 1, du présent règlement communiquent à l’ACER les informations dont elle a besoin pour accomplir les tâches énumérées au paragraphe 2.

1. Au plus tard le 13 juin 2025 , l’ACER, en coopération avec l’ENISA, établit un guide non contraignant d’évaluation comparative en matière de cybersécurité. Le guide explique aux ARN les principes de l’évaluation comparative des contrôles de cybersécurité mis en œuvre conformément au paragraphe 2 du présent article, en tenant compte des coûts de mise en œuvre des contrôles et de l’efficacité de la fonction assurée par les processus, produits, services, systèmes et solutions utilisés pour mettre en œuvre ces contrôles. L’ACER tient compte des rapports d’évaluation comparative existants lors de l’élaboration du guide d’évaluation comparative non contraignant en matière de cybersécurité. L’ACER soumet le guide non contraignant d’évaluation comparative en matière de cybersécurité aux ARN pour information.

2. Dans les 12 mois à compter de la mise en place du guide d’évaluation comparative conformément au paragraphe 1, les ARN effectuent une évaluation comparative afin de déterminer si les investissements actuels dans la cybersécurité:

3. Aux fins de l’évaluation comparative, les ARN peuvent tenir compte du guide non contraignant d’évaluation comparative en matière de cybersécurité établi par l’ACER et évaluent en particulier:

4. Toute information liée à l’évaluation comparative est traitée conformément aux exigences en matière de classification des données du présent règlement, des contrôles minimaux de cybersécurité et du rapport d’évaluation transfrontalière des risques de cybersécurité dans le secteur de l’électricité. L’évaluation comparative visée aux paragraphes 2 et 3 n’est pas rendue publique.

5. Sans préjudice des exigences de confidentialité à l’article 47 et de la nécessité de protéger la sécurité des entités soumises aux dispositions du présent règlement, l’évaluation comparative visée aux paragraphes 2 et 3 du présent article est communiquée à toutes les ARN, toutes les autorités compétentes, l’ACER, l’ENISA et la Commission.

1. Dans un délai de 18 mois à compter de l’entrée en vigueur du présent règlement, les GRT d’une région d’exploitation du réseau voisine d’un pays tiers s’efforcent de conclure avec les GRT du pays tiers voisin des accords qui sont conformes au droit de l’Union applicable et qui définissent la base de la coopération en matière de protection de la cybersécurité et des accords de coopération en matière de cybersécurité avec ces GRT.

2. Les GRT informent l’autorité compétente des accords conclus en application du paragraphe 1.

1. Les entités qui n’ont pas d’établissement dans l’Union, mais qui fournissent des services à des entités de l’Union et qui ont été notifiées comme étant des entités à fort impact ou à impact critique conformément à l’article 24, paragraphe 6, désignent, par écrit, dans un délai de trois mois à compter de la notification, un représentant dans l’Union et en informent l’autorité compétente notifiante.

2. Ce représentant est mandaté pour être considéré par toute autorité compétente ou un CSIRT dans l’Union comme en complément ou en lieu et place de l’entité à fort impact ou à impact critique en ce qui concerne les obligations de l’entité au titre du présent règlement. L’entité à fort impact ou à impact critique dote son représentant légal des pouvoirs nécessaires et des ressources suffisantes pour garantir sa coopération efficace et en temps utile avec les autorités compétentes ou les CSIRT concernés.

3. Ce représentant est établi dans l’un des États membres dans lesquels les services sont fournis. L’entité est considérée comme relevant de la compétence de l’État membre dans lequel le représentant est établi. Les entités à fort impact ou à impact critique communiquent le nom, l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone de leur représentant légal au coordinateur pour les services numériques de l’État membre dans lequel le représentant légal réside ou est établi.

4. Le représentant légal désigné peut être tenu pour responsable du non-respect des obligations prévues dans le présent règlement, sans préjudice de la responsabilité de l’entité à fort impact ou à impact critique elle-même et des actions en justice qui pourraient être intentées contre elle.

5. S’il n’est pas procédé à la désignation, selon le présent article, d’un représentant au sein de l’Union, tout État membre dans lequel l’entité fournit des services peut intenter une action en justice contre l’entité pour non-respect des obligations découlant du présent règlement.

6. La désignation d’un représentant légal dans l’Union en application du paragraphe 1 ne constitue pas un établissement dans l’Union.

1. Le REGRT pour l’électricité et l’entité des GRD de l’Union coopèrent à la réalisation des évaluations des risques de cybersécurité conformément à l’article 19 et à l’article 21, et plus particulièrement des tâches suivantes:

2. La coopération entre le REGRT pour l’électricité et le GRD de l’Union peut prendre la forme d’un groupe de travail sur les risques de cybersécurité.

3. Le REGRT pour l’électricité et l’entité des GRD de l’Union informent régulièrement l’ACER, l’ENISA, le groupe de coopération SRI et le groupe de coordination pour l’électricité des progrès accomplis dans la mise en œuvre des évaluations des risques de cybersécurité à l’échelle de l’Union et au niveau régional conformément à l’article 19 et à l’article 21.

1. Au plus tard le 13 mars 2025 , les GRT, avec l’aide du REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union et après consultation du groupe de coopération SRI, soumettent une proposition de méthodes d’évaluation des risques de cybersécurité au niveau de l’Union, au niveau régional et au niveau des États membres.

2. Les méthodes d’évaluation des risques de cybersécurité au niveau de l’Union, au niveau régional et au niveau des États membres comprennent:

3. Les méthodes d’évaluation des risques de cybersécurité au niveau de l’Union, au niveau régional et au niveau des États membres reposent sur la même matrice d’impact des risques. La matrice d’impact des risques permet de:

4. Les méthodes d’évaluation des risques de cybersécurité au niveau de l’Union décrivent la manière dont les valeurs ECII pour les seuils de fort impact et d’impact critique seront définies. L’ECII permet aux entités d’estimer, à l’aide des critères visés au paragraphe 2, point b), l’incidence des risques sur leur processus opérationnel, lors des analyses d’impact sur les activités qu’elles effectuent conformément à l’article 26, paragraphe 4, point c) i).

5. Le REGRT pour l’électricité, en coordination avec l’entité des GRD de l’Union, informe le groupe de coordination pour l’électricité des propositions de méthodes d’évaluation des risques de cybersécurité qui sont élaborées conformément au paragraphe 1.

1. Dans un délai de 9 mois à compter de l’approbation des méthodes d’évaluation des risques de cybersécurité conformément à l’article 8, et par la suite tous les trois ans, le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union et en concertation avec le groupe de coopération SRI, procède, sans préjudice de l’article 22 de la directive (UE) 2022/2555, à une évaluation des risques de cybersécurité à l’échelle de l’Union et élabore un projet de rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union. À cette fin seront utilisées les méthodes élaborées conformément à l’article 18 et approuvées conformément à l’article 8 pour identifier, analyser et évaluer les conséquences possibles des cyberattaques qui nuisent à la sécurité d’exploitation du système électrique et perturbent les flux transfrontaliers d’électricité. L’évaluation des risques de cybersécurité à l’échelle de l’Union ne tient pas compte des atteintes juridiques, financières ou à la réputation liées aux cyberattaques.

2. Le rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union comprend les éléments suivants:

3. En ce qui concerne les processus à fort impact à l’échelle de l’Union et les processus à impact critique à l’échelle de l’Union, le rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union comprend:

4. Le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, soumet à l’ACER, pour avis, le projet de rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union, accompagné des résultats de l’évaluation des risques de cybersécurité à l’échelle de l’Union. L’ACER émet un avis sur le projet de rapport dans un délai de trois mois à compter de sa réception. Le REGRT pour l’électricité et l’entité des GRD de l’Union tiennent le plus grand compte de l’avis de l’ACER lors de la finalisation de ce rapport.

5. Dans un délai de trois mois à compter de la réception de l’avis de l’ACER, le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, notifie le rapport final d’évaluation des risques de cybersécurité à l’ACER, à la Commission, à l’ENISA et aux autorités compétentes.

1. Chaque autorité compétente procède à une évaluation des risques de cybersécurité d’un État membre pour toutes les entités à fort impact ou à impact critique dans son État membre en utilisant les méthodes élaborées conformément à l’article 18 et approuvées conformément à l’article 8. L’évaluation des risques de cybersécurité au niveau des États membres recense et analyse les risques de cyberattaques portant atteinte à la sécurité d’exploitation du système électrique et perturbant les flux transfrontaliers d’électricité. L’évaluation des risques de cybersécurité à l’échelle de l’Union ne tient pas compte des atteintes juridiques, financières ou à la réputation liées aux cyberattaques.

2. Dans un délai de 21 mois à compter de la notification des entités à fort impact ou à impact critique conformément à l’article 24, paragraphe 6, et tous les trois ans après cette date, après consultation de l’AC CS-ANC responsable de l’électricité, chaque autorité compétente, soutenue par le CSIRT, transmet au REGRT pour l’électricité et à l’entité des GRD de l’Union un rapport d’évaluation des risques de cybersécurité des États membres, contenant les informations suivantes pour chaque processus opérationnel à fort impact ou à impact critique:

3. Le rapport d’évaluation des risques de cybersécurité au niveau d’un État membre tient compte du plan de préparation aux risques de l’État membre établi conformément à l’article 10 du règlement (UE) 2019/941.

4. Les informations contenues dans le rapport d’évaluation des risques de cybersécurité au niveau d’un État membre conformément au paragraphe 2, points a) à d), ne sont pas liées à des entités ou actifs spécifiques. Le rapport sur l’évaluation des risques de cybersécurité au niveau d’un État membre comprend également une évaluation des risques liés aux dérogations temporaires accordées par les autorités compétentes des États membres sur la base de l’article 30.

5. Le REGRT pour l’électricité et l’entité des GRD de l’Union peuvent demander des informations complémentaires aux autorités compétentes en ce qui concerne les tâches visées au paragraphe 2, points a) et c).

6. Les autorités compétentes veillent à ce que les informations qu’elles fournissent soient exactes et correctes.

1. Le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union et en concertation avec le centre de coordination régional compétent, procède à une évaluation régionale des risques de cybersécurité pour chaque région d’exploitation du réseau en utilisant les méthodes définies conformément à l’article 19 et approuvées conformément à l’article 8, pour identifier, analyser et évaluer les risques de cyberattaques affectant la sécurité d’exploitation du système électrique et perturbant les flux transfrontaliers d’électricité. L’évaluation des risques de cybersécurité au niveau régional ne tient pas compte des atteintes juridiques, financières ou à la réputation liées aux cyberattaques.

2. Dans un délai de 30 mois à compter de la notification des entités à fort impact ou à impact critique conformément à l’article 24, paragraphe 6, et par la suite tous les trois ans, le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union et en concertation avec le groupe de coopération SRI, élabore un rapport d’évaluation des risques de cybersécurité au niveau régional pour chaque région d’exploitation du réseau.

3. Le rapport d’évaluation des risques de cybersécurité au niveau régional tient compte des informations pertinentes contenues dans les rapports d’évaluation des risques de cybersécurité à l’échelle de l’Union et dans les rapports d’évaluation des risques de cybersécurité au niveau des États membres.

4. L’évaluation des risques de cybersécurité au niveau régional tient compte des scénarios régionaux de crise électrique liés à la cybersécurité identifiés conformément à l’article 6 du règlement (UE) 2019/941.

1. Dans un délai de 36 mois à compter de la notification des entités à fort impact ou à impact critique conformément à l’article 24, paragraphe 6, et au plus tard le 13 juin 2031 , et par la suite tous les trois ans, le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union et en concertation avec le groupe de coopération SRI, élabore un rapport d’évaluation des risques de cybersécurité au niveau régional pour chaque région d’exploitation du réseau.

2. Les plans régionaux d’atténuation des risques de cybersécurité comprennent:

3. Le REGRT pour l’électricité soumet les plans régionaux d’atténuation des risques aux gestionnaires de réseau de transport concernés, aux autorités compétentes et au groupe de coordination pour l’électricité. Le groupe de coordination pour l’électricité peut recommander des modifications.

4. Les GRT, avec l’aide du REGRT pour l’électricité en coopération avec l’entité des GRD de l’Union et en concertation avec le groupe de coopération SRI, mettent à jour les plans régionaux d’atténuation des risques tous les trois ans, sauf si les circonstances justifient des mises à jour plus fréquentes.

1. Dans un délai de 40 mois à compter de la notification des entités à fort impact critique conformément à l’article 24, paragraphe 6, et par la suite tous les trois ans, les GRT, avec l’aide du REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union et en concertation avec le groupe de coopération SRI, transmettent au groupe de coordination pour l’électricité un rapport sur les résultats de l’évaluation des risques de cybersécurité en ce qui concerne les flux transfrontaliers d’électricité (ci-après le «rapport d’évaluation complète des risques de cybersécurité en lien avec les flux transfrontaliers d’électricité»).

2. Le rapport d’évaluation complète des risques de cybersécurité en lien avec les flux transfrontaliers d’électricité est fondé sur le rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union, sur les rapports d’évaluation des risques de cybersécurité des États membres et sur les rapports régionaux d’évaluation des risques de cybersécurité et comprend les informations suivantes:

3. Les entités énumérées à l’article 2, paragraphe 1, peuvent contribuer à l’élaboration du rapport d’évaluation complète des risques de cybersécurité en lien avec les flux transfrontaliers d’électricité, dans le respect de la confidentialité des informations conformément à l’article 47. Les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, consultent ces entités à un stade précoce.

4. Le rapport d’évaluation complète des risques de cybersécurité en lien avec les flux transfrontaliers d’électricité est soumis aux règles relatives à la protection de l’échange d’informations en application de l’article 46. Sans préjudice de l’article 10, paragraphe 4, et de l’article 47, paragraphe 4, le REGRT pour l’électricité et l’entité des GRD de l’Union publient une version publique de ce rapport qui ne contient pas d’informations susceptibles de causer des dommages aux entités énumérées à l’article 2, paragraphe 1. La version publique de ce rapport n’est publiée qu’avec l’accord du groupe de coopération SRI et du groupe de coordination pour l’électricité. Le REGRT pour l’électricité, en coordination avec l’entité des GRD de l’Union, est responsable de la compilation et de la publication de la version publique du rapport.

1. Chaque autorité compétente identifie, en utilisant l’ECII et les seuils de fort impact et d’impact critique inclus dans le rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union conformément à l’article 19, paragraphe 3, point b), les entités à fort impact ou à impact critique de son État membre qui participent aux processus à fort impact ou à impact critique à l’échelle de l’Union. Les autorités compétentes peuvent demander des informations à une entité de leur État membre pour déterminer les valeurs ECII de cette entité. Si l’ECII déterminé d’une entité est supérieur au seuil de fort impact ou d’impact critique, l’entité identifiée est inscrite sur la liste du rapport d’évaluation des risques de cybersécurité de l’État membre prévu à l’article 20, paragraphe 2.

2. Chaque autorité compétente identifie, en utilisant l’ECII et les seuils de fort impact et d’impact critique inclus dans le rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union conformément à l’article 19, paragraphe 3, point b), les entités à fort impact ou à impact critique établies hors de l’Union, dans la mesure où elles sont actives dans l’Union. Les autorités compétentes peuvent demander des informations à une entité établie hors de l’Union afin de déterminer les valeurs ECII pour cette entité.

3. Chaque autorité compétente peut désigner d’autres entités dans son État membre en tant qu’entités à fort impact ou à impact critique si les critères suivants sont remplis:

4. Si une autorité compétente identifie des entités supplémentaires conformément au paragraphe 3, tous les processus de ces entités pour lesquels l’ECII agrégé au sein du groupe est supérieur au seuil de fort impact sont considérés comme des processus à fort impact, et tous les processus de ces entités pour lesquels l’ECII agrégé sur l’ensemble du groupe est supérieur aux seuils d’impact critique sont considérés comme des processus à impact critique.

5. Si une autorité compétente identifie des entités visées au paragraphe 3, point a), dans plus d’un État membre, elle en informe les autres autorités compétentes, le REGRT pour l’électricité et l’entité des GRD de l’Union. Le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, sur la base des informations reçues de toutes les autorités compétentes, fournit aux autorités compétentes une analyse de l’agrégation des entités de plus d’un État membre susceptibles de créer une perturbation distribuée des flux transfrontaliers d’électricité et d’entraîner une cyberattaque. Lorsqu’un groupe d’entités dans plusieurs États membres est identifié comme une agrégation dont l’ECII est supérieur au seuil de fort impact ou d’impact critique, toutes les autorités compétentes concernées identifient les entités de ce groupe comme étant des entités à fort impact ou à impact critique pour leur État membre respectif, sur la base de l’ECII agrégé pour le groupe des entités, et les entités identifiées sont énumérées dans le rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union.

6. Dans un délai de neuf mois à compter de la notification par le REGRT pour l’électricité et l’entité des GRD de l’Union du rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union conformément à l’article 19, paragraphe 5 et, en tout état de cause, au plus tard le 13 juin 2028 , chaque autorité compétente notifie à chaque entité figurant sur la liste qu’elle a été recensée comme entité à fort impact ou à impact critique dans son État membre.

7. Lorsqu’un prestataire de services est déclaré à une autorité compétente comme étant un prestataire de services TIC critiques conformément à l’article 27, point c), cette autorité compétente le notifie aux autorités compétentes des États membres sur le territoire desquels se trouve le siège ou le représentant. Cette dernière autorité compétente informe le prestataire de services qu’il a été identifié comme étant un prestataire de services critique.

1. Les autorités compétentes peuvent mettre en place un système national de vérification pour vérifier que les entités à impact critique recensées conformément à l’article 24, paragraphe 1, ont mis en œuvre le cadre législatif national qui est inclus dans la matrice de cartographie visée à l’article 34. Le système national de vérification peut être fondé sur une inspection effectuée par l’autorité compétente, sur des audits de sécurité indépendants ou sur des examens mutuels par les pairs réalisés par des entités à impact critique dans le même État membre et supervisés par l’autorité compétente.

2. Si une autorité compétente décide d’établir un programme national de vérification, elle veille à ce que la vérification soit effectuée conformément aux exigences suivantes:

3. Si une autorité compétente décide d’établir un système national de vérification, elle indique chaque année à l’ACER la fréquence à laquelle elle a effectué des inspections dans le cadre de ce système.

1. Chaque entité à fort impact ou à impact critique identifiée par les autorités compétentes conformément à l’article 24, paragraphe 1, assure la gestion des risques de cybersécurité pour tous ses actifs dans ses périmètres à fort impact ou à impact critique. Chaque entité à fort impact ou à impact critique effectue tous les trois ans une gestion des risques comportant les phases visées au paragraphe 2.

2. Chaque entité à fort impact ou à impact critique fonde sa gestion des risques de cybersécurité sur une approche qui vise à protéger ses réseaux et systèmes d’information et qui comprend les phases suivantes:

3. Au cours de la phase de mise en place du contexte, chaque entité à fort impact ou à impact critique:

4. Au cours de la phase d’évaluation des risques de cybersécurité, chaque entité à fort impact ou à impact critique:

5. Au cours de la phase de traitement des risques de cybersécurité, chaque entité à fort impact ou à impact critique établit un plan d’atténuation des risques au niveau de l’entité en sélectionnant des options de traitement des risques appropriées pour gérer les risques et identifier les risques résiduels.

6. Au cours de la phase d’acceptation des risques de cybersécurité, chaque entité à fort impact ou à impact critique décide d’accepter ou non le risque résiduel sur la base des critères d’acceptation des risques énoncés au paragraphe 3, point b).

7. Chaque entité à fort impact ou à impact critique doit enregistrer les actifs identifiés au paragraphe 1 dans un inventaire des actifs. Cet inventaire des actifs ne fait pas partie du rapport d’évaluation des risques.

8. L’autorité compétente peut inspecter les actifs de l’inventaire lors des inspections.

1. Le cadre commun de cybersécurité de l’électricité se compose des contrôles et du système de gestion de la cybersécurité suivants:

2. Toutes les entités à fort impact appliquent les contrôles minimaux de cybersécurité conformément au paragraphe 1, point a), dans leur périmètre à fort impact.

3. Toutes les entités à impact critique appliquent les contrôles avancés de cybersécurité conformément au paragraphe 1, point b), dans leur périmètre d’impact critique.

4. Dans un délai de 7 mois à compter de la présentation du premier projet de rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union conformément à l’article 19, paragraphe 4, le cadre commun de cybersécurité de l’électricité prévu au paragraphe 1 est complété par les contrôles de cybersécurité minimaux et avancés dans la chaîne d’approvisionnement définis conformément à l’article 33.

1. Dans un délai de 7 mois à compter de la soumission du premier projet de rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union conformément à l’article 19, paragraphe 4, les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, élaborent une proposition de contrôles de cybersécurité minimaux et avancés.

2. Dans un délai de 6 mois à compter de l’établissement de chaque rapport régional d’évaluation des risques de cybersécurité conformément à l’article 21, paragraphe 2, les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, proposent à l’autorité compétente une modification des contrôles de cybersécurité minimaux et avancés. La proposition sera faite conformément à l’article 8, paragraphe 10, et tiendra compte des risques recensés dans l’évaluation régionale des risques.

3. Les contrôles minimaux et avancés de cybersécurité sont vérifiables au moyen d’une participation à un schéma national de vérification conformément à la procédure définie à l’article 31 ou dans le cadre d’audits de sécurité réalisés par un tiers indépendant conformément aux exigences énumérées à l’article 25, paragraphe 2.

4. Les contrôles de cybersécurité initiaux minimaux et avancés définis conformément au paragraphe 1 sont fondés sur les risques recensés dans le rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union visé à l’article 19, paragraphe 5. Les contrôles de cybersécurité minimaux et avancés modifiés conformément au paragraphe 2 sont fondés sur le rapport régional d’évaluation des risques de cybersécurité prévu à l’article 21, paragraphe 2.

5. Les contrôles minimaux de cybersécurité comprennent des contrôles visant à protéger les informations échangées en application de l’article 46.

6. Dans un délai de 12 mois à compter de l’approbation des contrôles de cybersécurité minimaux et avancés conformément à l’article 8, paragraphe 5, ou après chaque mise à jour conformément à l’article 8, paragraphe 10, les entités énumérées à l’article 2, paragraphe 1, et identifiées en tant qu’entités à impact critique ou à fort impact conformément à l’article 24 appliquent, lors de la mise en place du plan d’atténuation des risques au niveau de l’entité conformément à l’article 26, paragraphe 5, les contrôles minimaux de cybersécurité dans le périmètre à fort impact et les contrôles de cybersécurité avancés dans le périmètre à impact critique.

1. Les entités énumérées à l’article 2, paragraphe 1, peuvent demander à l’autorité compétente concernée d’accorder une dérogation à leur obligation d’appliquer les contrôles de cybersécurité minimaux et avancés visés à l’article 29, paragraphe 6. L’autorité compétente peut accorder une telle dérogation pour l’un des motifs suivants:

2. Dans un délai de trois mois à compter de la réception de la demande visée au paragraphe 1, chaque autorité compétente décide s’il y a lieu d’accorder une dérogation aux contrôles de cybersécurité minimaux et avancés. Les dérogations aux contrôles de cybersécurité minimaux ou avancés sont accordées pour une durée maximale de trois ans, avec possibilité de renouvellement.

3. Les informations agrégées et anonymisées relatives aux dérogations accordées sont incluses en annexe du rapport d’évaluation complète des risques de cybersécurité en lien avec les flux transfrontaliers d’électricité prévu à l’article 23. Le REGRT pour l’électricité et l’entité des GRD de l’Union mettent à jour conjointement la liste, si nécessaire.

1. Au plus tard 24 mois après l’adoption des contrôles visés à l’article 28, paragraphe 1, points a), b), c) et la mise en place du système de gestion de la cybersécurité visée au même article, paragraphe 1, point d), chaque entité à impact critique identifiée conformément à l’article 24, paragraphe 1, est en mesure de démontrer, à la demande de l’autorité compétente, qu’elle respecte le système de gestion de la cybersécurité et les contrôles de cybersécurité minimaux ou avancés.

2. Chaque entité à impact critique s’acquitte de l’obligation visée au paragraphe 1 en se soumettant à des audits de sécurité effectués par des tiers indépendants conformément aux exigences énumérées à l’article 25, paragraphe 2, ou en participant à un système national de vérification conformément à l’article 25, paragraphe 1.

3. La vérification qu’une entité à impact critique respecte le système de gestion de la cybersécurité et les contrôles de cybersécurité minimaux ou avancés couvre tous les actifs se trouvant dans le périmètre d’impact critique de l’entité à impact critique.

4. La vérification qu’une entité à impact critique respecte le système de gestion de la cybersécurité et les contrôles de cybersécurité minimaux ou avancés est répétée au plus tard 36 mois après la fin de la première vérification, et par la suite tous les 3 ans.

5. Chaque entité à impact critique définie conformément à l’article 24 démontre qu’elle respecte les contrôles visés à l’article 28, paragraphe 1, points a), b), c) et la mise en place du système de gestion de la cybersécurité visée au même article, paragraphe 1, point d), en rendant compte des résultats de la vérification de la conformité à l’autorité compétente.

1. Dans un délai de 24 mois à compter de la notification par l’autorité compétente qu’elle a été identifiée comme entité à fort impact ou à impact critique conformément à l’article 24, paragraphe 6, chaque entité à fort impact ou à impact critique met en place un système de gestion de la cybersécurité et le réexamine par la suite tous les trois ans afin:

2. Le champ d’application du système de gestion de la cybersécurité inclut tous les actifs appartenant au périmètre à fort impact ou à impact critique de l’entité à fort impact ou à impact critique.

3. Les autorités compétentes encouragent, sans imposer ni s’inscrire en faveur de l’utilisation d’un type particulier de technologie, l’utilisation de normes et spécifications européennes ou internationales relatives aux systèmes de gestion et pertinentes pour la sécurité des réseaux et des systèmes d’information.

1. Dans un délai de 7 mois à compter de la soumission du premier projet de rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union conformément à l’article 19, paragraphe 4, les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, élaborent une proposition concernant les contrôles de cybersécurité minimaux et avancés dans la chaîne d’approvisionnement qui atténuent les risques de la chaîne d’approvisionnement recensés dans les évaluations des risques de cybersécurité à l’échelle de l’Union, en complétant les contrôles de cybersécurité minimaux et avancés élaborés conformément à l’article 29. Les contrôles minimaux et avancés de cybersécurité dans la chaîne d’approvisionnement sont élaborés en même temps que les contrôles minimaux et avancés de cybersécurité conformément à l’article 29. Les contrôles minimaux et avancés de cybersécurité dans la chaîne d’approvisionnement couvrent l’ensemble du cycle de vie de tous les produits TIC, services TIC et processus TIC à l’intérieur des périmètres à fort impact ou à impact critique d’une entité à fort impact ou à impact critique. Le groupe de coopération SRI est consulté lors de l’élaboration de la proposition concernant les contrôles minimaux et avancés de cybersécurité dans la chaîne d’approvisionnement.

2. Les contrôles minimaux de cybersécurité dans la chaîne d’approvisionnement consistent en des contrôles pour les entités à fort impact ou à impact critique qui:

3. Pour le cahier des charges de cybersécurité figurant dans la recommandation relative aux marchés de cybersécurité visée au paragraphe 2, point a), les entités à fort impact ou à impact critique utilisent les principes de passation de marchés énoncés dans la directive 2014/24/UE du Parlement européen et du Conseil (19), conformément à l’article 35, paragraphe 4, ou définissent leur propre cahier des charges sur la base des résultats de l’évaluation des risques de cybersécurité au niveau de l’entité.

4. Les contrôles avancés de cybersécurité dans la chaîne d’approvisionnement comprennent des contrôles pour les entités à impact critique afin de vérifier, lors de la passation de marchés, que les produits TIC, services TIC et processus TIC qui seront utilisés comme actifs à impact critique satisfont au cahier des charges de cybersécurité. Le produit TIC, service TIC ou processus TIC est vérifié soit au moyen d’un schéma européen de certification de cybersécurité tel que visé à l’article 31, soit au moyen d’activités de vérification sélectionnées et organisées par l’entité. L’ampleur et la portée des activités de vérification sont suffisantes pour garantir que le produit TIC, service TIC ou processus TIC peut être utilisé pour atténuer les risques recensés dans l’évaluation des risques au niveau de l’entité. L’entité à impact critique documente les mesures prises pour réduire les risques identifiés.

5. Les contrôles minimaux et avancés de cybersécurité dans la chaîne d’approvisionnement s’appliquent à l’acquisition de produits TIC, services TIC et processus TIC pertinents. Les contrôles minimaux et avancés de cybersécurité de la chaîne d’approvisionnement s’appliquent aux procédures de passation de marchés dans les entités identifiées en tant qu’entités à impact critique ou à fort impact conformément à l’article 24 commençant six mois après l’adoption ou la mise à jour des contrôles de cybersécurité minimaux et avancés visés à l’article 29.

6. Dans un délai de 6 mois à compter de l’établissement de chaque rapport régional d’évaluation des risques de cybersécurité conformément à l’article 21, paragraphe 2, les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, proposent à l’autorité compétente une modification des contrôles de cybersécurité minimaux et avancés. La proposition est faite conformément à l’article 8, paragraphe 10, et tient compte des risques recensés dans l’évaluation régionale des risques.

1. Dans un délai de 7 mois à compter de la soumission du premier projet de rapport d’évaluation des risques de cybersécurité à l’échelle de l’Union conformément à l’article 19, paragraphe 4, les GRT, avec l’aide du REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union et en concertation avec l’ENISA, élaborent une proposition de matrice pour cartographier les contrôles visés à l’article 28, paragraphe 1, points a) et b), par rapport à une sélection de normes européennes et internationales ainsi qu’aux spécifications techniques pertinentes (ci-après la «matrice cartographique»). Le REGRT pour l’électricité et l’entité des GRD de l’Union documentent l’équivalence des différents contrôles avec les contrôles visés à l’article 28, paragraphe 1, points a) et b).

2. Les autorités compétentes peuvent fournir au REGRT pour l’électricité et à l’entité des GRD de l’Union une cartographie des contrôles visés à l’article 28, paragraphe 1, points a) et b), avec une référence aux cadres législatifs ou réglementaires nationaux correspondants, y compris les normes nationales pertinentes des États membres conformément à l’article 25 de la directive (UE) 2022/2555. Si l’autorité compétente d’un État membre fournit une telle cartographie, le REGRT pour l’électricité et l’entité des GRD de l’Union intègrent cette cartographie nationale dans la matrice cartographique.

3. Dans un délai de 6 mois à compter de l’établissement de chaque rapport régional d’évaluation des risques de cybersécurité conformément à l’article 21, paragraphe 2, les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union et en concertation avec l’ENISA, proposent à l’autorité compétente une modification de la matrice cartographique. La proposition est faite conformément à l’article 8, paragraphe 10, et tient compte des risques recensés dans l’évaluation régionale des risques.

1. Les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, élaborent, dans un programme de travail à établir et à mettre à jour chaque fois qu’un rapport régional d’évaluation des risques de cybersécurité est adopté, des séries de recommandations non contraignantes relatives aux marchés de cybersécurité que les entités à fort impact ou à impact critique peuvent utiliser comme base pour l’acquisition de produits TIC, de services TIC et de processus TIC dans les périmètres à fort impact ou à impact critique. Le programme de travail comporte les éléments suivants:

2. Le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, fournit à l’ACER, dans un délai de 6 mois à compter de l’adoption ou de la mise à jour du rapport régional d’évaluation des risques de cybersécurité, un résumé de ce programme de travail.

3. Les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, s’efforcent de veiller à ce que les recommandations non contraignantes en matière de passation de marchés de cybersécurité élaborées sur la base de l’évaluation régionale pertinente des risques de cybersécurité soient similaires ou comparables entre les régions d’exploitation du réseau. Les séries de recommandations relatives aux marchés de cybersécurité couvrent au moins le cahier des charges visé à l’article 33, paragraphe 2, point a). Dans la mesure du possible, le cahier des charges est établi à partir de normes européennes ou internationales.

4. Les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, veillent à ce que les séries de recommandations relatives aux marchés de cybersécurité:

1. Les recommandations non contraignantes en matière de passation de marchés de cybersécurité élaborées en application de l’article 35 peuvent inclure des orientations sectorielles sur l’utilisation de schémas européens de certification de cybersécurité, chaque fois qu’un schéma approprié est disponible pour un type de produit TIC, service TIC ou processus TIC utilisé par des entités à impact critique, sans préjudice du cadre pour l’établissement de schémas européens de certification de cybersécurité conformément à l’article 46 du règlement (UE) 2019/881.

2. Les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, coopèrent étroitement avec l’ENISA pour fournir les orientations sectorielles incluses dans les recommandations non contraignantes en matière de passation de marchés de cybersécurité conformément au paragraphe 1.

1. Si une autorité compétente reçoit des informations relatives à une cyberattaque devant faire l’objet d’une déclaration, elle:

2. Si un CSIRT a connaissance d’une vulnérabilité non corrigée activement exploitée, il:

3. Si une autorité compétente a connaissance d’une vulnérabilité non corrigée activement exploitée, elle:

4. Si l’autorité compétente a connaissance d’une vulnérabilité non corrigée, sans qu’il soit prouvé qu’elle est déjà activement exploitée, elle se concerte sans tarder avec le CSIRT aux fins de la divulgation coordonnée de cette vulnérabilité conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555.

5. Si un CSIRT reçoit des informations relatives aux cybermenaces de la part d’une ou de plusieurs entités à fort impact ou à impact critique en application de l’article 38, paragraphe 6, il diffuse ces informations ou toute autre information importante pour prévenir, détecter ou atténuer le risque y afférent auprès des entités à impact critique ou à fort impact dans son État membre et, s’il y a lieu, auprès de tous les CSIRT concernés et de son point de contact unique national, dans les meilleurs délais et, au plus tard, quatre heures après avoir reçu les informations.

6. Si une autorité compétente a connaissance d’informations relatives à des cybermenaces émanant d’une ou de plusieurs entités à fort impact ou à impact critique, elle transmet ces informations au CSIRT aux fins du paragraphe 5.

7. Les autorités compétentes peuvent déléguer en tout ou en partie les responsabilités visées aux paragraphes 3 et 4 concernant une ou plusieurs entités à fort impact ou à impact critique actives dans plus d’un État membre à une autre autorité compétente de l’un de ces États membres, à la suite d’un accord entre les autorités compétentes concernées.

8. Les GRT, avec l’aide du REGRT pour l’électricité et en coopération avec l’entité des GRD de l’Union, élaborent une méthode/échelle de classification des cyberattaques pour le 13 juin 2025 . Les GRT, avec l’aide du REGRT pour l’électricité et de l’entité des GRD de l’Union, peuvent demander aux autorités compétentes de consulter l’ENISA et leurs autorités compétentes en matière de cybersécurité afin d’aider à l’élaboration d’une telle échelle de classification. La méthode prévoit la classification de la gravité d’une cyberattaque selon 5 niveaux, les deux niveaux les plus hauts étant «élevée» et «critique». La classification est fondée sur l’évaluation des paramètres suivants:

9. Au plus tard le 13 juin 2026 , le REGRT pour l’électricité, en collaboration avec l’entité des GRD de l’Union, réalise une étude de faisabilité afin d’évaluer la possibilité de mettre au point un outil commun permettant à toutes les entités de partager des informations avec les autorités nationales compétentes, et les coûts financiers nécessaires à cette mise au point.

10. L’étude de faisabilité examinera la possibilité, pour un tel outil commun:

11. Le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union:

12. Le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, peut analyser et faciliter les initiatives proposées par les entités à impact critique ou à fort impact afin d’évaluer et de tester ces outils de partage d’informations.

1. Chaque entité à fort impact ou à impact critique:

2. L’ENISA peut publier des orientations non contraignantes sur la mise en place de ces capacités ou la sous-traitance du service aux fournisseurs de services de sécurité gérés, dans le cadre de la tâche définie à l’article 6, paragraphe 2, du règlement (UE) 2019/881.

3. Chaque entité à impact critique et à fort impact communique les informations pertinentes relatives à une cyberattaque devant faire l’objet d’une déclaration à ses CSIRT et à son autorité compétente dans les meilleurs délais et, au plus tard, quatre heures après avoir appris que l’incident doit faire l’objet d’une déclaration.

4. Les informations liées à une cyberattaque sont considérées comme devant faire l’objet d’une déclaration lorsque l’évaluation de la cyberattaque par l’entité concernée conclut à une gravité allant de «élevée» à «critique» selon la méthode/échelle de classification des cyberattaques établie conformément à l’article 37, paragraphe 8. Le point de contact unique au niveau de l’entité désigné conformément au paragraphe 1, point c), transmet la classification des incidents.

5. Lorsque des entités à impact critique ou à fort impact notifient à un CSIRT des informations pertinentes relatives à des vulnérabilités non corrigées activement exploitées, ce dernier peut relayer ces informations à son autorité compétente. Compte tenu du niveau de sensibilité des informations notifiées, le CSIRT peut ne pas les communiquer ou en retarder la transmission pour des raisons motivées liées à la cybersécurité.

6. Chaque entité à impact critique ou à fort impact fournit sans tarder à ses CSIRT toute information relative à une cybermenace devant faire l’objet d’une déclaration susceptible d’avoir un effet transfrontalier. Les informations relatives à une cybermenace sont considérées comme devant faire l’objet d’une déclaration lorsqu’au moins l’une des conditions suivantes est remplie:

7. Chaque entité à impact critique et entité à fort impact précise, lors du partage d’informations en application du présent article, les éléments suivants:

8. Lorsqu’une entité à impact critique ou à fort impact notifie un incident important conformément à l’article 23 de la directive (UE) 2022/2555 et que le signalement d’incident au titre dudit article contient des informations pertinentes requises par le paragraphe 3 du présent article, le signalement de l’entité en application de l’article 23, paragraphe 1, de ladite directive constitue un signalement d’informations au titre du paragraphe 3 du présent article.

9. Chaque entité à impact critique ou à fort impact fait rapport à son autorité compétente ou au CSIRT en identifiant clairement les informations spécifiques qui ne doivent être communiquées qu’à l’autorité compétente ou au CSIRT dans les cas où le partage d’informations pourrait être à l’origine d’une cyberattaque. Chaque entité à impact critique ou à fort impact a le droit de fournir une version non confidentielle des informations au CSIRT compétent.

1. Les entités à impact critique ou à fort impact développent les capacités nécessaires pour gérer les cyberattaques détectées avec le soutien nécessaire de l’autorité compétente concernée, du REGRT pour l’électricité et de l’entité des GRD de l’Union. Les entités à impact critique ou à fort impact peuvent être soutenues par le CSIRT désigné dans leur État membre respectif dans le cadre de la mission confiée aux CSIRT par l’article 11, paragraphe 5, point a), de la directive (UE) 2022/2555. Les entités à impact critique ou à fort impact mettent en œuvre des processus efficaces de détection et de classification des cyberattaques qui affecteront ou sont susceptibles d’affecter les flux transfrontaliers d’électricité, afin de réduire au minimum leurs effets.

2. Si une cyberattaque a un impact sur les flux transfrontaliers d’électricité, les points de contact uniques au niveau de l’entité des entités à impact critique ou à fort impact coopèrent pour partager des informations entre elles, sous la coordination de l’autorité compétente de l’État membre dans lequel la cyberattaque a été signalée pour la première fois.

3. Les entités à impact critique ou à fort impact:

4. Les tâches visées au paragraphe 1 peuvent également être déléguées par les États membres aux centres de coordination régionaux conformément à l’article 37, paragraphe 2, du règlement (UE) 2019/943.

1. Lorsque l’autorité compétente établit qu’une crise électrique est liée à une cyberattaque ayant un impact sur plusieurs États membres, les autorités compétentes des États membres touchés, les ANC-CS, les ANC-PR et les autorités de gestion des crises de cybersécurité (SRI) des États membres touchés créent conjointement un groupe ad hoc de coordination de crise transfrontalière.

2. Le groupe ad hoc de coordination de crise transfrontalière:

3. Lorsque la cyberattaque remplit, ou que l’on s’attend à ce qu’elle remplisse, les critères d’un incident de cybersécurité majeur, le groupe ad hoc de coordination de crise transfrontalière informe immédiatement les autorités nationales de gestion des crises de cybersécurité conformément à l’article 9, paragraphe 1, de la directive (UE) 2022/2555 dans les États membres touchés par l’incident, ainsi que la Commission et EU CyCLONe. Dans une telle situation, le groupe ad hoc de coordination transfrontalière en cas de crise assiste EU CyCLONe en ce qui concerne les spécificités sectorielles.

4. Les entités à impact critique ou à fort impact développent et ont à leur disposition des capacités, des lignes directrices internes, des plans de préparation et du personnel pour participer à la détection et à l’atténuation des crises transfrontalières. L’entité à impact critique ou à fort impact touchée par une crise électrique simultanée enquête sur la cause profonde de cette crise, en coopération avec son autorité compétente, afin de déterminer dans quelle mesure la crise est liée à une cyberattaque.

5. Les tâches visées au paragraphe 4 peuvent également être déléguées par les États membres aux centres de coordination régionaux conformément à l’article 37, paragraphe 2, du règlement (UE) 2019/943.

1. Dans un délai de 24 mois à compter de la notification à l’ACER du rapport d’évaluation des risques à l’échelle de l’Union, l’ACER élabore, en étroite coopération avec l’ENISA, le REGRT pour l’électricité, l’entité des GRD de l’Union, les ANC-CS, les autorités compétentes, les ANC-PR, les ARN et les autorités nationales de gestion des crises de cybersécurité (SRI), un plan de gestion des crises de cybersécurité et de réaction à ces crises au niveau de l’Union pour le secteur de l’électricité.

2. Dans les 12 mois suivant l’élaboration par l’ACER du plan de gestion des crises de cybersécurité et de réaction à ces crises au niveau de l’Union pour le secteur de l’électricité conformément au paragraphe 1, chaque autorité compétente élabore un plan national de gestion des crises de cybersécurité et de réaction à ces crises pour les flux transfrontaliers d’électricité en tenant compte du plan de gestion des crises de cybersécurité au niveau de l’Union et du plan national de préparation aux risques établi conformément à l’article 10 du règlement (UE) 2019/941. Ce plan est en cohérence avec le plan de réaction aux incidents de cybersécurité majeurs et aux crises conformément à l’article 9, paragraphe 4, de la directive (UE) 2022/2555. L’autorité compétente se coordonne avec les entités à impact critique et à fort impact et avec l’ANC-PR dans son État membre.

3. Le plan national de réaction aux incidents et crises de cybersécurité majeurs requis conformément à l’article 9, paragraphe 4, de la directive (UE) 2022/2555 est considéré comme un plan national de gestion des crises de cybersécurité au sens du présent article s’il comprend des dispositions relatives à la gestion des crises et à la réaction à celles-ci pour les flux transfrontaliers d’électricité.

4. Les tâches énumérées aux paragraphes 1 et 2 peuvent également être déléguées par les États membres aux centres de coordination régionaux conformément à l’article 37, paragraphe 2, du règlement (UE) 2019/943.

5. Les entités à impact critique ou à fort impact veillent à ce que leurs processus de gestion des crises de cybersécurité:

6. Dans un délai de 12 mois à compter de la notification des entités à fort impact ou à impact critique conformément à l’article 24, paragraphe 6, et par la suite tous les trois ans, les entités à impact critique ou à fort impact élaborent un plan de gestion de crise au niveau de l’entité pour une crise liée à la cybersécurité, qui est inclus dans leurs plans généraux de gestion des crises. Il comprend au moins les éléments suivants:

7. Les mesures de gestion des crises prévues à l’article 21, paragraphe 2, point c), de la directive (UE) 2022/2555 sont considérées comme un plan de gestion des crises au niveau de l’entité pour le secteur de l’électricité au titre du présent article si elles incluent toutes les exigences énumérées au paragraphe 6.

8. Les plans de gestion des crises sont testés au cours des exercices de cybersécurité visés aux articles 43, 44 et 45.

9. Les entités à impact critique ou à fort impact incluent leurs plans de gestion des crises au niveau de l’entité dans leurs plans de continuité des activités pour les processus à impact critique ou à fort impact. Les plans de gestion des crises au niveau de l’entité comprennent:

10. Les entités à impact critique ou à fort impact mettent à jour leurs plans de gestion de crise au niveau de l’entité au moins tous les trois ans et chaque fois que cela est nécessaire.

11. L’ACER met à jour le plan de gestion des crises de cybersécurité et de réaction à ces crises au niveau de l’Union pour le secteur de l’électricité élaboré conformément au paragraphe 1 au moins tous les trois ans et chaque fois que cela est nécessaire.

12. Chaque autorité compétente met à jour le plan national de gestion des crises de cybersécurité et de réaction à ces crises pour les flux transfrontaliers d’électricité élaboré conformément au paragraphe 2 au moins tous les trois ans et chaque fois que cela est nécessaire.

13. Les entités à impact critique ou à fort impact testent leurs plans de continuité des activités au moins une fois tous les trois ans ou après des changements majeurs dans un processus à impact critique. Les résultats des essais du plan de continuité des activités sont documentés. Les entités à impact critique ou à fort impact peuvent inclure le test de leur plan de continuité des activités dans les exercices de cybersécurité.

14. Les entités à impact critique ou à fort impact mettent à jour leur plan de continuité des activités chaque fois que cela est nécessaire et au moins une fois tous les trois ans en tenant compte des résultats du test.

15. Si un test révèle des lacunes dans le plan de continuité des activités, l’entité à impact critique ou à fort impact corrige ces défaillances dans les 180 jours civils suivant le test et procède à un nouveau test afin de prouver que les mesures correctives sont efficaces.

16. Lorsqu’une entité à impact critique ou à fort impact ne peut corriger les défaillances dans un délai de 180 jours civils, elle en indique les raisons dans le rapport à fournir à son autorité compétente conformément à l’article 27.

1. Les autorités compétentes coopèrent avec l’ENISA pour développer les capacités d’alerte précoce en matière de cybersécurité dans le domaine de l’électricité (ECEAC) dans le cadre de l’assistance aux États membres conformément à l’article 6, paragraphe 2, et à l’article 7 du règlement (UE) 2019/881.

2. L’ECEAC permet à l’ENISA, lorsqu’elle exécute les tâches énumérées à l’article 7, paragraphe 7, du règlement (UE) 2019/881:

3. Les CSIRT diffusent sans tarder les informations reçues de l’ENISA auprès des entités concernées, dans le cadre de leurs tâches définies à l’article 11, paragraphe 3, point b), de la directive (UE) 2022/2555.

4. L’ACER contrôle l’efficacité de l’ECEAC. L’ENISA assiste l’ACER en fournissant toutes les informations nécessaires, conformément à l’article 6, paragraphe 2, et à l’article 7, paragraphe 1, du règlement (UE) 2019/881. L’analyse de cette activité de surveillance fait partie de la surveillance prévue à l’article 12 du présent règlement.

1. Au plus tard le 31 décembre de l’année suivant la notification des entités à impact critique, et par la suite tous les trois ans, chaque entité à impact critique réalise un exercice de cybersécurité comprenant un ou plusieurs scénarios de cyberattaques affectant directement ou indirectement les flux transfrontaliers d’électricité et liés aux risques recensés lors des évaluations des risques de cybersécurité au niveau des États membres et des entités conformément à l’article 20 et à l’article 27.

2. Par dérogation au paragraphe 1, l’ANC-PR, après consultation de l’autorité compétente et de l’autorité de gestion des crises de cybersécurité concernée, désignée ou établie dans la directive (UE) 2022/2555, conformément à l’article 9, peut décider d’organiser un exercice de cybersécurité au niveau de l’État membre, comme décrit au paragraphe 1, au lieu de procéder à l’exercice de cybersécurité au niveau de l’entité. À cet égard, l’autorité compétente informe:

3. L’autorité nationale compétente en matière de préparation aux risques, avec le soutien technique de ses CSIRT, organise l’exercice de cybersécurité décrit au paragraphe 2 au niveau de l’État membre, de manière indépendante ou dans le cadre d’un autre exercice de cybersécurité dans cet État membre. Afin de pouvoir regrouper ces exercices, l’autorité nationale compétente en matière de préparation aux risques peut reporter d’un an l’exercice de cybersécurité au niveau des États membres prévu au paragraphe 1.

4. Les exercices de cybersécurité au niveau de l’entité et des États membres sont compatibles avec les cadres nationaux de gestion des crises de cybersécurité conformément à l’article 9, paragraphe 4, point d), de la directive (UE) 2022/2555.

5. Au plus tard le 31 décembre 2026 , et par la suite tous les trois ans, le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, met à disposition un modèle de scénario d’exercice pour effectuer les exercices de cybersécurité au niveau de l’entité et de l’État membre prévus au paragraphe 1. Ce modèle tient compte des résultats de l’évaluation des risques de cybersécurité la plus récente au niveau de l’entité et des États membres et comprend des critères de réussite clés. Le REGRT pour l’électricité et l’entité des GRD de l’Union associent l’ACER et l’ENISA à l’élaboration de ce modèle.

1. Au plus tard le 31 décembre 2029 et par la suite tous les trois ans, dans chaque région d’exploitation du réseau, le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, organise un exercice régional de cybersécurité. Les entités à impact critique dans la région d’exploitation du réseau participent à l’exercice régional de cybersécurité. Le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, peut organiser dans le même délai, au lieu d’un exercice régional de cybersécurité, un exercice de cybersécurité transrégional dans plus d’une région exploitant un réseau. L’exercice devrait tenir compte d’autres évaluations des risques de cybersécurité et des scénarios existants élaborés au niveau de l’Union.

2. L’ENISA soutient le REGRT pour l’électricité et l’entité des GRD de l’Union dans la préparation et l’organisation de l’exercice de cybersécurité au niveau régional ou transrégional.

3. Le REGRT pour l’électricité, en coordination avec l’entité des GRD de l’Union, informe les entités à impact critique qui participent à l’exercice régional ou transrégional de cybersécurité six mois avant la réalisation de l’exercice.

4. L’organisateur d’un exercice régulier de cybersécurité au niveau de l’Union conformément à l’article 7, paragraphe 5, du règlement (UE) 2019/881, ou de tout exercice obligatoire de cybersécurité lié au secteur de l’électricité dans le même périmètre géographique, peut inviter le REGRT pour l’électricité et l’entité des GRD de l’Union à participer. Dans de tels cas, l’obligation prévue au paragraphe 1 ne s’applique pas, à condition que toutes les entités à impact critique dans la région d’exploitation du réseau participent au même exercice.

5. Si le REGRT pour l’électricité et l’entité des GRD de l’Union participent à un exercice de cybersécurité visé au paragraphe 4, ils peuvent reporter d’un an l’exercice régional ou transrégional de cybersécurité prévu au paragraphe 1.

6. Au plus tard le 31 décembre 2027 , et par la suite tous les trois ans, le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, met à disposition un modèle de scénario d’exercice pour effectuer les exercices régionaux ou transrégionaux de cybersécurité. Ce modèle tient compte des résultats de l’évaluation des risques de cybersécurité la plus récente au niveau régional et comprend des critères de réussite clés. Le REGRT pour l’électricité consulte la Commission et peut demander conseil à l’ACER, à l’ENISA et au Centre commun de recherche sur l’organisation et l’exécution des exercices de cybersécurité régionaux et transrégionaux.

1. À la demande d’une entité à impact critique, les fournisseurs de services critiques participent aux exercices de cybersécurité visés à l’article 43, paragraphes 1 et 2, et à l’article 44, paragraphe 1, lorsqu’ils fournissent des services à l’entité à impact critique dans le domaine correspondant au champ d’application de l’exercice de cybersécurité concerné.

2. Les organisateurs des exercices de cybersécurité visés à l’article 43, paragraphes 1 et 2, et à l’article 44, paragraphe 1, avec l’avis de l’ENISA s’ils en font la demande et conformément à l’article 7, paragraphe 5, du règlement (UE) 2019/881, analysent et finalisent l’exercice de cybersécurité concerné au moyen d’un rapport résumant les enseignements, adressé à tous les participants. Le rapport contient:

3. À la demande du réseau des CSIRT, du groupe de coopération SRI ou d’EU CyCLONe, les organisateurs des exercices de cybersécurité mentionnés à l’article 43, paragraphes 1 et 2, et à l’article 44, paragraphe 1, partagent les résultats de l’exercice de cybersécurité concerné. Les organisateurs communiquent à chaque entité participant aux exercices les informations visées au paragraphe 2, points a) et b), du présent article. Les organisateurs communiquent la liste des recommandations visées audit paragraphe, point c), exclusivement aux entités visées dans les recommandations.

4. Les organisateurs des exercices de cybersécurité visés à l’article 43, paragraphes 1 et 2, et à l’article 44, paragraphe 1, assurent, avec les entités participant aux exercices, un suivi régulier de la mise en œuvre des recommandations conformément au paragraphe 2, point c), du présent article.

1. Les entités énumérées à l’article 2, paragraphe 1, veillent à ce que les informations fournies, reçues, échangées ou transmises au titre du présent règlement ne soient accessibles que sur la base du besoin d’en connaître et conformément aux règles nationales et de l’Union applicables en matière de sécurité des informations.

2. Les entités énumérées à l’article 2, paragraphe 1, veillent à ce que les informations fournies, reçues, échangées ou transmises au titre du présent règlement soient traitées et suivies tout au long de leur cycle de vie et à ce qu’elles ne puissent être divulguées à la fin de leur cycle de vie qu’après avoir été anonymisées.

3. Les entités énumérées à l’article 2, paragraphe 1, veillent à ce que toutes les mesures de protection de nature organisationnelle et technique nécessaires soient en place pour préserver et protéger la confidentialité, l’intégrité, la disponibilité et la non-répudiation des informations fournies, reçues, échangées ou transmises au titre du présent règlement, indépendamment des moyens utilisés. Les mesures de protection:

4. Les entités énumérées à l’article 2, paragraphe 1, veillent à ce que toute personne qui se voit accorder l’accès aux informations fournies, reçues, échangées ou transmises au titre du présent règlement soit informée des règles de sécurité applicables au niveau de l’entité et des mesures et procédures applicables à la protection des informations. Ces entités veillent à ce que la personne concernée soit consciente de la responsabilité qui lui incombe de protéger les informations conformément aux instructions données lors de la séance d’information.

5. Les entités énumérées à l’article 2, paragraphe 1, veillent à ce que l’accès aux informations fournies, reçues, échangées ou transmises au titre du présent règlement soit limité aux personnes physiques:

6. Les entités énumérées à l’article 2, paragraphe 1, ont l’accord écrit de la personne physique ou morale qui a créé ou fourni les informations à l’origine, avant de communiquer ces informations à un tiers qui ne relève pas du champ d’application du présent règlement.

7. Une entité énumérée à l’article 2, paragraphe 1, peut considérer que ces informations sont partagées sans se conformer aux paragraphes 1 et 4 du présent article afin de prévenir une crise électrique simultanée ayant une cause profonde en matière de cybersécurité ou toute crise transfrontalière au sein de l’Union dans un autre secteur. Dans ce cas, elle:

8. Par dérogation au paragraphe 6 du présent article, les autorités compétentes peuvent communiquer des informations fournies, reçues, échangées ou transmises au titre du présent règlement à un tiers qui ne figure pas sur la liste de l’article 2, paragraphe 1, sans le consentement préalable écrit de l’auteur des informations, mais en informant ce dernier le plus tôt possible. Avant de divulguer toute information fournie, reçue, échangée ou transmise au titre du présent règlement à un tiers ne figurant pas sur la liste de l’article 2, paragraphe 1, l’autorité compétente concernée veille raisonnablement à ce que le tiers concerné ait connaissance des règles de sécurité en vigueur, et reçoit l’assurance raisonnable que le tiers concerné peut protéger les informations reçues conformément aux paragraphes 1 à 5 du présent article. L’autorité compétente anonymise ces informations sans perdre les éléments nécessaires pour informer le public d’un risque imminent et grave concernant les flux transfrontaliers d’électricité et d’éventuelles mesures d’atténuation, afin de préserver l’identité de l’auteur des informations. Dans ce cas, le tiers qui ne figure pas sur la liste de l’article 2, paragraphe 1, protège les informations reçues conformément aux dispositions déjà en vigueur au niveau de l’entité ou, lorsque cela n’est pas possible, aux dispositions et instructions fournies par l’autorité compétente concernée.

9. Le présent article ne s’applique pas aux entités non énumérées à l’article 2, paragraphe 1, qui reçoivent des informations en application du paragraphe 6 du présent article. Dans ce cas, le paragraphe 7 du présent article s’applique, ou l’autorité compétente peut fournir à cette entité des dispositions écrites à appliquer dans les cas où des informations sont reçues au titre du présent règlement.

1. Toute information fournie, reçue, échangée ou transmise au titre du présent règlement est soumise aux conditions de secret professionnel prévues aux paragraphes 2 à 5 du présent article et aux exigences énoncées à l’article 65 du règlement (UE) 2019/943. Toute information fournie, reçue, échangée ou transmise entre les entités énumérées à l’article 2 du présent règlement, aux fins de la mise en œuvre du présent règlement, est protégée, compte tenu du niveau de confidentialité des informations appliqué par l’auteur.

2. L’obligation de secret professionnel s’applique aux entités énumérées à l’article 2.

3. Les autorités nationales compétentes en matière de cybersécurité, les ARN, les ANC-PR et les CSIRT échangent toutes les informations nécessaires à l’accomplissement de leurs tâches.

4. Toutes les informations reçues, échangées ou transmises entre les entités énumérées à l’article 2, paragraphe 1, aux fins de la mise en œuvre de l’article 23, sont anonymisées et agrégées.

5. Les informations reçues par toute entité ou autorité assujettie au présent règlement dans l’exercice de ses fonctions ne peuvent être divulguées à aucune autre personne ou autorité, sans préjudice des cas couverts par le droit national, les autres dispositions du présent règlement ou les autres actes applicables de la législation de l’Union.

6. Sans préjudice de la législation nationale ou de l’Union, une autorité, une entité ou une personne physique qui reçoit des informations au titre du présent règlement ne peut les utiliser à d’autres fins que l’accomplissement de ses missions au titre du présent règlement.

7. L’ACER, après avoir consulté l’ENISA, toutes les autorités compétentes, le REGRT pour l’électricité et l’entité des GRD de l’Union, publie, au plus tard le 13 juin 2025 , des lignes directrices concernant les mécanismes permettant à toutes les entités énumérées à l’article 2, paragraphe 1, d’échanger des informations, et en particulier les flux de communication envisagés, ainsi que les méthodes d’anonymisation et d’agrégation des informations aux fins de la mise en œuvre du présent article.

8. Les informations confidentielles au titre de règles de l’Union ou nationales ne sont échangées avec la Commission et les autres autorités concernées que si cet échange est nécessaire à l’application du présent règlement. Les informations échangées se limitent à ce qui est nécessaire et proportionné à l’objectif de cet échange. L’échange d’informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités à impact critique ou à fort impact.

1. Jusqu’à l’approbation des modalités et conditions ou des méthodes visées à l’article 6, paragraphe 2, ou des plans visés à l’article 6, paragraphe 3, le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, élabore des orientations non contraignantes sur les questions suivantes:

2. Au plus tard le 13 octobre 2024 , le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, élabore une recommandation concernant un ECII provisoire. Le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, notifie l’ECII provisoire recommandé aux autorités compétentes.

3. Quatre mois à compter de la réception de l’ECII provisoire recommandé, ou au plus tard le 13 février 2025 , les autorités compétentes identifient les entités susceptibles d’être classées à fort impact ou à impact critique dans leur État membre sur la base de l’ECII recommandé et établissent une liste provisoire d’entités à fort impact et à impact critique. Les entités à fort impact ou à impact critique figurant sur la liste provisoire peuvent, sur la base d’un principe de précaution, volontairement remplir les obligations qui leur incombent en application du présent règlement. Au plus tard le 13 mars 2025 , les autorités compétentes notifient aux entités figurant sur la liste provisoire qu’elles ont été identifiées comme entités à fort impact ou à impact critique.

4. Au plus tard le 13 décembre 2024 , le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, établit une liste provisoire des processus à fort impact et à impact critique à l’échelle de l’Union. Les entités ayant reçu notification conformément au paragraphe 3 qui décident volontairement de remplir les obligations qui leur incombent en application du présent règlement sur la base d’un principe de précaution utilisent la liste provisoire des processus à fort impact et à impact critique pour déterminer les périmètres provisoires à fort impact ou à impact critique et pour déterminer quels actifs doivent être inclus dans la première évaluation des risques de cybersécurité au niveau de l’entité.

5. Au plus tard le 13 septembre 2024 , chaque autorité compétente conformément à l’article 4, paragraphe 1, fournit au REGRT pour l’électricité et à l’entité des GRD de l’Union une liste de sa législation nationale pertinente pour les aspects liés à la cybersécurité des flux transfrontaliers d’électricité.

6. Au plus tard le 13 juin 2025 , le REGRT pour l’électricité, en coopération avec l’entité des GRD de l’Union, établit une liste provisoire des normes et contrôles européens et internationaux requis par la législation nationale qui présentent un intérêt pour les aspects liés à la cybersécurité des flux transfrontaliers d’électricité, en tenant compte des informations fournies par les autorités compétentes.

7. La liste provisoire des normes et contrôles européens et internationaux comprend:

8. Le REGRT pour l’électricité et l’entité des GRD de l’Union tiennent compte des avis exprimés par l’ENISA et l’ACER lors de la finalisation de la liste provisoire des normes. Le REGRT pour l’électricité et l’entité des GRD de l’Union publient la liste transitoire des normes et contrôles européens et internationaux sur leurs sites web.

9. Le REGRT pour l’électricité et l’entité des GRD de l’Union consultent l’ENISA et l’ACER sur les propositions d’orientations non contraignantes élaborées conformément au paragraphe 1.

10. Jusqu’à ce que les contrôles minimaux et avancés en matière de cybersécurité soient définis conformément à l’article 29 et adoptés conformément l’article 8, toutes les entités énumérées à l’article 2, paragraphe 1, s’efforcent d’appliquer progressivement les orientations non contraignantes élaborées conformément au paragraphe 1.