Nettverkskode om IKT-sikkerhet (Cyber security)
Kommisjonens delegerte forordning (EU) 2024/1366 av 11. mars 2024 om supplerende regler til EU-Parlamentets og Rådets forordning (EU) 2019/943 om fastsettelse av nettkoder for sektorspesifikke regler om IKT-sikkerhet for grensekryssende elektrisitetsflyt
Commission Delegated Regulation (EU) 2024/1366 of 11 March 2024 supplementing Regulation (EU) 2019/943 of the European Parliament and of the Council by establishing a network code on sector-specific rules for cybersecurity aspects of cross-border electricity flows
EØS-notat | 06.12.2024 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 06.12.2024
Spesialutvalg: Energi
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Energidepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg IV. Energi
Kapittel i EØS-avtalen:
Status
Kommisjonsdelegert forordning (EU) 2024/1366 av 11. mars 2024 (forordningen) ble vedtatt av Europakommisjonen den 11. mars 2024, og publisert i Official Journal den 24. mai 2024. Forordningen er i kraft i EU.
Status
Kommisjonsdelegert forordning (EU) 2024/1366 av 11. mars 2024 (forordningen) ble vedtatt av Europakommisjonen den 11. mars 2024, og publisert i Official Journal den 24. mai 2024. Forordningen er i kraft i EU.
Sammendrag av innhold
Forordningen utfyller forordning (EU) 2019/943 om det indre elektrisitetsmarkedet ved å etablere en nettverkskode for sektorspesifikke regler om IKT-sikkerhet for grensekryssende elektrisitetsflyt.
Kapittel 1 – Generelle bestemmelser
Kapittel 1 består av bestemmelser som beskriver formålet med rettsakten, anvendelsesområdet, definisjoner, kompetent myndighet, samt samarbeid mellom relevante myndigheter og organer på nasjonalt plan. Videre inneholder kapittelet bestemmelser om vilkår og betingelser eller metoder samt planer, avstemmingsregler for TSOene, foreleggelse av forslag for kompetente myndigheter, høringer, involvering av interessenter, overvåkning, benchmarking, avtaler med TSOer utenfor EU og utpeking av rettslige representanter for disse, og samarbeid mellom ENTSO-E og EU DSO-enheter.
Kapittel 2 – Risikovurdering og kartlegging av relevante IKT-sikkerhetsrisikoer
Kapittel 2 inneholder bestemmelser om metoder for IKT-sikkerhetsrisikovurdering på EU-plan, medlemstatsnivå og regionalt nivå, planer for avbøting av IKT-sikkerhetsrisikoer på regionalt nivå, krav til omfattende rapport om IKT-sikkerhetsrisikovurderingen i forbindelse med grensekryssende elektrisitetsflyt. Kapittelet inneholder også krav til identifisering av enheter med stor og kritisk innvirkning, nasjonale kontrollordninger, IKT-sikkerhetsstyring på enhetsnivå og rapportering om risikovurdering på enhetsnivå.
Kapittel 3 – Felles rammeverk for IKT-sikkerhet
Kapittel 3 omhandler sammensetning, funksjon og revisjon av felles rammeverk for IKT-sikkerhet, krav til minimums- og utvidet IKT-sikkerhetskontroll (inkludert unntak), verifikasjon av felles rammeverk for IKT-sikkerhet, IKT-sikkerhetsstyringssystem, minimums- og utvidet IKT-sikkerhetskontroll for leverandørkjeden og kartlegging av IKT-sikkerhetskontroller opp mot standarder.
Kapittel 4 – Anbefalinger for IKT-sikkerhetsanskaffelser
Dette kapittelet har to bestemmelser som beskriver IKT-sikkerhetsrelaterte anbefalinger i forbindelse med anskaffelser, og veiledning til bruk av europeiske IKT-sikkerhetssertifiseringsordninger i forbindelse med innkjøp av IKT-produkter, -tjenester og -prosesser.
Kapittel 5 – Informasjonsflyt, IKT-angrep og krisehåndtering
Kapittelet onneholder regler om deling av opplysninger, avdekking av IKT-angrep og håndtering av relatert informasjon, krisehåndtering, planer for respons på IKT-angrep og beredskapsplaner, kapasitet for tidlig varsling i IKT-sikkerhetsspørsmål for elektrisitetssektoren.
Kapittel 6 – Rammeverk for IKT-sikkerhetsøvelser
Dette kapittelet omhandler IKT-sikkerhetsøvelser på enhets-, medlemsstats-, og regionalt og tverregionalt nivå.
Kapittel 7 – Beskyttelse av informasjon
Dette kapitlet beskriver prinsipper for beskyttelse av delt informasjon og beskyttelsesgraden til opplysninger.
Kapittel 8 – Avsluttende bestemmelser
Det avsluttende kapittelet har to artikler, som dekker midlertidige bestemmelser og ikrafttredelse av forordningen.
Merknader
Hjemmel i EU-traktaten
Forordningen er vedtatt med hjemmel i artikkel 59(2) i forordning (EU) 2019/943 om det indre elektrisistetsmarkedet. Rettsakten er en del av EU sin bredere strategi for å styrke kritisk infrastruktur mot digitale trusler, blant annet gjennom NIS 1 og 2-direktivene (nettverks- og informasjonssikkerhetsdirektiv) som har som formål å sørge for et høyt felles nivå av digital sikkerhet i samfunnsviktige virksomheter og tjenester
Rettslige konsekvenser
Forordningen er av EU markert som EØS-relevant. Norske myndigheter har ikke ferdigstilt sin vurdering av EØS-relevans. I forlengelsen av EØS-relevansvurderingen må behov for eventuelle EØS-tilpasninger også vurderes nærmere. Det vil også foretas en gjennomgang av innholdet i rettsakten sammenholdt med norsk regelverk ved eventuell gjennomføring i norsk rett. Vurderingen av rettslige konsekvenser er ikke ferdigstilt.
Gjeldende lovgivning som vil kunne berøres inkluderer energiloven og forskrifter som regulerer IKT-sikkerhet i kraftsektoren. NIS1-direktivet er gjennomført i norsk rett, og det arbeides med å vurdere nødvendige tilpasninger ved gjennomføring av NIS 2-direktivet.
Vurdering
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | 2024/1366/EU |
| Basis rettsaktnr.: | |
| Celexnr.: | 32024R1366 |
EFTA-prosessen
| Dato mottatt standardskjema: | 14.04.2024 |
| Frist returnering standardskjema: | 04.08.2024 |
| Dato returnert standardskjema: | |
| EØS-relevant: | Til diskusjon |
| Akseptabelt: | Til diskusjon |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |