(1) 2  Zarządzanie ryzykiem cyberbezpieczeństwa jest kluczowe dla utrzymania bezpieczeństwa dostaw energii elektrycznej i zapewnienia wysokiego poziomu cyberbezpieczeństwa w sektorze energii elektrycznej.

(2) Cyfryzacja i cyberbezpieczeństwo mają decydujące znaczenie dla świadczenia usług kluczowych, a zatem są istotne pod względem strategicznym dla krytycznej infrastruktury energetycznej.

(3) 3  Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 4  ustanawia środki na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/941 5  uzupełnia dyrektywę (UE) 2022/2555 poprzez zapewnienie, aby incydenty cyberbezpieczeństwa w sektorze energii elektrycznej były odpowiednio identyfikowane jako ryzyko, a środki stosowane w odpowiedzi na nie były właściwie odzwierciedlone w planach gotowości na wypadek zagrożeń. Rozporządzenie (UE) 2019/943 uzupełnia dyrektywę (UE) 2022/2555 i rozporządzenie (UE) 2019/941 poprzez określenie przepisów szczegółowych dotyczących sektora energii elektrycznej na poziomie Unii. Ponadto niniejsze rozporządzenie delegowane uzupełnia przepisy dyrektywy (UE) 2022/2555 dotyczące sektora energii elektrycznej w każdym przypadku związanym z transgranicznymi przepływami energii elektrycznej.

(4) W kontekście wzajemnie powiązanych cyfrowych systemów elektroenergetycznych zapobieganie kryzysom elektroenergetycznym związanym z cyberatakami i zarządzanie nimi nie może być uznawane za zadanie wyłącznie krajowe. Należy w pełni rozwinąć wydajniejsze i mniej kosztowne środki w ramach współpracy regionalnej i unijnej. W związku z tym potrzebne są wspólne ramy zasad i lepiej skoordynowane procedury, aby zapewnić skuteczną transgraniczną współpracę państw członkowskich i innych podmiotów w duchu zwiększonej przejrzystości, zaufania i solidarności między państwami członkowskimi a właściwymi organami odpowiedzialnymi za energię elektryczną i cyberbezpieczeństwo.

(5) 6  Zarządzanie ryzykiem cyberbezpieczeństwa wchodzące w zakres niniejszego rozporządzenia wymaga strukturalnego procesu obejmującego między innymi identyfikację ryzyka dla transgranicznych przepływów energii elektrycznej wynikającego z cyberataków, powiązanych procesów i zakresów operacyjnych, odpowiednich zabezpieczeń cyberbezpieczeństwa i mechanizmów weryfikacji. Chociaż ramy czasowe całego procesu rozkładają się na lata, każdy z jego etapów powinien przyczynić się do osiągnięcia wysokiego wspólnego poziomu cyberbezpieczeństwa w tym sektorze i ograniczenia ryzyka w zakresie cyberbezpieczeństwa. Wszyscy uczestnicy procesu powinni dołożyć wszelkich starań w celu jak najszybszego opracowania i uzgodnienia metod bez zbędnej zwłoki, a w każdym razie nie później niż w terminach określonych w niniejszym rozporządzeniu.

(6) 7  Oceny ryzyka cyberbezpieczeństwa na poziomie Unii, państw członkowskich, regionów i podmiotów w niniejszym rozporządzeniu mogą być ograniczone do ocen wynikających z cyberataków zdefiniowanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 8 , w związku z czym wyklucza się na przykład ataki fizyczne, klęski żywiołowe i wyłączenia spowodowane utratą jednostek lub zasobów ludzkich. Ogólnounijne i regionalne ryzyko związane z atakami fizycznymi lub klęskami żywiołowymi w dziedzinie energii elektrycznej jest już objęte innymi obowiązującymi przepisami Unii, w tym art. 5 rozporządzenia (UE) 2019/941, lub rozporządzeniem Komisji (UE) 2017/1485 9  ustanawiającym wytyczne dotyczące pracy systemu przesyłowego energii elektrycznej. Podobnie dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 10  w sprawie odporności podmiotów krytycznych ma na celu zmniejszenie podatności na zagrożenia i wzmocnienie fizycznej odporności podmiotów krytycznych oraz obejmuje wszystkie istotne czynniki ryzyka, naturalne i spowodowane przez człowieka, które mogą mieć wpływ na świadczenie usług kluczowych, w tym wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego, np. pandemie, oraz zagrożenia hybrydowe lub inne zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne, infiltrację przestępczą i sabotaż.

(7) Pojęcia "podmioty o dużym wpływie" i "podmioty o krytycznym wpływie" stosowane w niniejszym rozporządzeniu są istotne dla określenia zakresu podmiotów, które będą podlegać obowiązkom opisanym w niniejszym rozporządzeniu. Podejście oparte na analizie ryzyka przedstawione w poszczególnych przepisach ma na celu określenie procesów, aktywów pomocniczych i podmiotów je obsługujących, które mają wpływ na transgraniczne przepływy energii elektrycznej. W zależności od stopnia znaczenia ewentualnych cyberataków dla operacji transgranicznych przepływów energii elektrycznej, można je uznać za podmioty "o dużym wpływie" lub za podmioty "o krytycznym wpływie". W art. 3 dyrektywy (UE) 2022/2555 określono pojęcia podmiotów kluczowych i ważnych oraz kryteria identyfikacji podmiotów należących do tych kategorii. Chociaż wiele z nich zostanie uznanych i zidentyfikowanych jednocześnie jako podmioty "kluczowe" w rozumieniu art. 3 dyrektywy (UE) 2022/2555 oraz podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgodnie z art. 24 niniejszego rozporządzenia, kryteria określone w niniejszym rozporządzeniu odnoszą się wyłącznie do ich roli i znaczenia w procesach związanych z energią elektryczną mających wpływ na przepływy transgraniczne, bez uwzględnienia kryteriów określonych w art. 3 dyrektywy (UE) 2022/2555.

(8) Podmiotami objętymi zakresem niniejszego rozporządzenia, uznawanymi za podmioty o dużym wpływie lub podmioty o krytycznym wpływie zgodnie z art. 24 niniejszego rozporządzenia i podlegającymi obowiązkom w nim określonym, są przede wszystkim te podmioty, które mają bezpośrednie znaczenia dla transgranicznych przepływów energii elektrycznej w UE.

(9) W niniejszym rozporządzeniu wykorzystano istniejące mechanizmy i instrumenty, ustanowione już w innych aktach prawnych, aby zapewnić skuteczność i uniknąć powielania działań w ramach osiągania celów.

(10) Stosując niniejsze rozporządzenie, państwa członkowskie, odpowiednie organy i operatorzy systemów powinni uwzględniać uzgodnione normy europejskie i specyfikacje techniczne europejskich organizacji normalizacyjnych oraz działać zgodnie z przepisami Unii dotyczącymi wprowadzania do obrotu lub oddawania do użytku produktów objętych tymi przepisami Unii.

(11) W celu ograniczenia ryzyka w zakresie cyberbezpieczeństwa konieczne jest ustanowienie zbioru szczegółowych przepisów regulujących działania odpowiednich zainteresowanych stron, których działalność dotyczy aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej, i współpracę między tymi stronami, aby zapewnić bezpieczeństwo systemu. Te przepisy organizacyjne i techniczne powinny zapewniać skuteczne reagowanie na szczeblu operacyjnym na większość incydentów związanych z energią elektryczną, których podstawowe przyczyny leżą w dziedzinie cyberbezpieczeństwa. Konieczne jest określenie, co te odpowiednie zainteresowane strony powinny zrobić, aby zapobiec takim kryzysom, oraz jakie środki mogą zastosować w przypadkach, gdy same przepisy dotyczące pracy systemu już nie wystarczają. W związku z tym należy ustanowić wspólne ramy zasad dotyczących sposobów zapobiegania jednoczesnym kryzysom elektroenergetycznym, których podstawową przyczyną jest cyberbezpieczeństwo, przygotowania się na takie kryzysy i zarządzania nimi. Zwiększa to przejrzystość na etapie przygotowań oraz podczas jednoczesnego kryzysu elektroenergetycznego i zapewnia, by środki były stosowane w sposób skoordynowany i efektywny we współpracy z właściwymi organami ds. cyberbezpieczeństwa w państwach członkowskich. Państwa członkowskie i odpowiednie podmioty powinny być zobowiązane do współpracy na szczeblu regionalnym oraz, w stosownych przypadkach, współpracy dwustronnej, w duchu solidarności. Ta współpraca i przepisy mają na celu osiągnięcie lepszej gotowości na wypadek ryzyka w zakresie cyberbezpieczeń- stwa po niższych kosztach, również zgodnie z celami dyrektywy (UE) 2022/2555. Konieczne wydaje się również wzmocnienie wewnętrznego rynku energii elektrycznej poprzez zwiększenie zaufania we wszystkich państwach członkowskich, w szczególności ograniczenie ryzyka nadmiernego ograniczenia transgranicznych przepływów energii elektrycznej, a tym samym zmniejszenie ryzyka negatywnych skutków ubocznych dla sąsiadujących państw członkowskich.

(12) 11  Bezpieczeństwo dostaw energii elektrycznej wymaga skutecznej współpracy pomiędzy państwami członkowskimi, instytucjami, organami i jednostkami organizacyjnymi Unii oraz odpowiednimi zainteresowanymi stronami. Operatorzy systemów dystrybucyjnych i operatorzy systemów przesyłowych odgrywają kluczową rolę w zapewnianiu bezpiecznego, niezawodnego i wydajnego systemu elektroenergetycznego zgodnie z art. 31 i 40 dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/944 12 . Poszczególne organy regulacyjne i inne stosowne właściwe organy krajowe również odgrywają ważną rolę w zapewnianiu i monitorowaniu cyberbezpieczeństwa w dostawach energii elektrycznej w ramach zadań powierzonych im w dyrektywie (UE) 2019/944 i dyrektywie (UE) 2022/2555. Państwa członkowskie powinny wyznaczyć istniejący lub nowo powołany podmiot jako właściwy organ krajowy do celów wdrażania niniejszego rozporządzenia, aby zapewnić przejrzysty i sprzyjający włączeniu udział wszystkich zainteresowanych podmiotów, sprawne przygotowanie i właściwe wdrożenie, współpracę między poszczególnymi odpowiednimi zainteresowanymi stronami i właściwymi organami w dziedzinie energii elektrycznej i cyberbezpieczeństwa, a także ułatwić zapobieganie kryzysom elektroenergetycznym, których podstawową przyczyną jest naruszenie cyberbezpieczeństwa, i ocenę ex post tych kryzysów, a także wymianę związanych z nimi informacji.

(13) W przypadku gdy podmiot o dużym wpływie lub podmiot o krytycznym wpływie świadczy usługi w więcej niż jednym państwie członkowskim lub ma siedzibę lub prowadzi działalność, lub ma przedstawiciela w państwie członkowskim, ale jego sieć i systemy informatyczne znajdują się w co najmniej jednym innym państwie członkowskim, te państwa członkowskie powinny zachęcać swoje stosowne właściwe organy do dołożenia wszelkich starań, aby współpracować ze sobą i w razie potrzeby udzielać sobie wzajemnej pomocy.

(14) Państwa członkowskie powinny zapewnić, aby właściwe organy posiadały niezbędne uprawnienia, w odniesieniu do podmiotów o dużym wpływie i podmiotów o krytycznym wpływie, służące propagowaniu zgodności z niniejszym rozporządzeniem. Uprawnienia te powinny umożliwiać właściwym organom przeprowadzanie kontroli na miejscu i nadzoru zdalnego. Może to obejmować wyrywkowe kontrole, przeprowadzanie regularnych audytów, ukierunkowane audyty bezpieczeństwa oparte na ocenach ryzyka lub dostępne informacje dotyczące ryzyka i skany bezpieczeństwa na podstawie obiektywnych, niedyskryminacyjnych, sprawiedliwych i przejrzystych kryteriów szacowania ryzyka oraz wnioski o udzielenie informacji niezbędnych do oceny środków cyberbezpieczeństwa przyjętych przez podmiot. Wnioski te powinny dotyczyć udokumentowanej polityki cyberbezpieczeństwa, udzielenia dostępu do danych, dokumentów lub informacji koniecznych do wykonywania ich zadań nadzorczych, a także przedstawienia dowodów realizacji polityki cyberbezpieczeństwa, takich jak wyniki audytu bezpieczeństwa przeprowadzonego przez wykwalifikowanego audytora oraz odpowiednie dowody.

(15) 13  Aby uniknąć luk w obowiązkach lub powielania obowiązków dotyczących zarządzania ryzykiem cyberbezpieczeństwa nałożonych na podmioty o dużym wpływie i podmioty o krytycznym wpływie, organy krajowe na podstawie dyrektywy (UE) 2022/2555 i właściwe organy na podstawie niniejszego rozporządzenia powinny współpracować przy wdrażaniu środków zarządzania ryzykiem w cyberbezpieczeństwie oraz przy nadzorowaniu przestrzegania tych środków na szczeblu krajowym. Spełnienie przez podmiot wymogów w zakresie zarządzania ryzykiem cyberbezpieczeństwa określonych w niniejszym rozporządzeniu może zostać uznane przez właściwe organy na podstawie dyrektywy (UE) 2022/2555 za zapewnienie zgodności z odpowiednimi wymogami ustanowionymi w tej dyrektywie lub odwrotnie.

(16) Wspólne podejście do zapobiegania jednoczesnym kryzysom elektroenergetycznym i zarządzania nimi wymaga wspólnego zrozumienia przez państwa członkowskie, na czym polega równoczesny kryzys elektroenergetyczny i kiedy cyberatak jest jego ważnym czynnikiem. W szczególności należy ułatwić koordynację między państwami członkowskimi i odpowiednimi podmiotami w celu zaradzenia sytuacjom, w których ryzyko znacznego niedoboru energii elektrycznej lub braku możliwości dostarczenia jej odbiorcom już istnieje bądź jest nieuchronne, i to z powodu cyberataku.

(17) W motywie 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 14  uznano kluczową rolę sieci i systemów informatycznych oraz sieci i usług łączności elektronicznej w zapewnieniu funkcjonowania gospodarki w kluczowych sektorach, takich jak energetyka, natomiast w motywie 44 wyjaśniono, że Agencja Unii Europejskiej ds. Cyberbezpieczeństwa ("ENISA") powinna współpracować z Agencją Unii Europejskiej ds. Współpracy Organów Regulacji Energetyki ("ACER").

(18) W rozporządzeniu (UE) 2019/943 operatorom systemów przesyłowych ("OSP") i operatorom systemów dystrybucyjnych ("OSD") powierzono konkretne obowiązki w zakresie cyberbezpieczeństwa. Ich europejskie stowarzyszenia, a mianowicie europejska sieć operatorów systemów przesyłowych energii elektrycznej ("ENTSO energii elektrycznej") i europejska organizacja operatorów systemów dystrybucyjnych ("organizacja OSD UE"), wspierają cyberbez- pieczeństwo zgodnie z odpowiednio art. 30 i 55 tego rozporządzenia we współpracy z właściwymi organami i podmiotami objętymi regulacją.

(19) 15  Wspólne podejście do zapobiegania jednoczesnym kryzysom elektroenergetycznym, których podstawową przyczyną jest naruszenie cyberbezpieczeństwa, i zarządzania nimi wymaga również, aby wszystkie odpowiednie zainteresowane strony stosowały zharmonizowane metody i definicje w celu identyfikacji ryzyka związanego z cyberbezpieczeń- stwem dostaw energii elektrycznej. Wymaga to również możliwości skutecznego porównania swoich wyników oraz wyników swoich sąsiadów w tym zakresie. W związku z tym konieczne jest ustanowienie procesów oraz ról i obowiązków w celu opracowania i aktualizacji metod zarządzania ryzykiem, skali klasyfikacji incydentów i środków cyberbezpieczeństwa dostosowanych do ryzyka w cyberbezpieczeństwie mającego wpływ na transgraniczne przepływy energii elektrycznej.

(20) Państwa członkowskie za pośrednictwem właściwego organu wyznaczonego do celów niniejszego rozporządzenia są odpowiedzialne za identyfikację podmiotów, które spełniają kryteria kwalifikowania się jako podmioty o dużym wpływie i podmioty o krytycznym wpływie. Aby wyeliminować rozbieżności pod tym względem między państwami członkowskimi oraz zapewnić wszystkim podmiotom objętym regulacją pewność prawa w odniesieniu do środków zarządzania ryzykiem w cyberbezpieczeństwie i do obowiązków dotyczących zgłaszania incydentów, należy ustanowić jednolite kryterium określające, które podmioty są objęte zakresem stosowania niniejszego rozporządzenia. Ten zestaw kryteriów należy określić i regularnie aktualizować w ramach procesu opracowywania i przyjmowania warunków i metod określonych w niniejszym rozporządzeniu.

(21) Przepisy niniejszego rozporządzenia powinny pozostawać bez uszczerbku dla prawa Unii ustanawiającego przepisy szczegółowe dotyczące certyfikacji produktów technologii informacyjno-komunikacyjnej ("ICT"), usług ICT i procesów ICT, w szczególności bez uszczerbku dla rozporządzenia (UE) 2019/881 w odniesieniu do ram ustanowienia europejskich programów certyfikacji cyberbezpieczeństwa. W kontekście niniejszego rozporządzenia produkty ICT powinny obejmować również urządzenia techniczne i oprogramowanie umożliwiające bezpośrednią interakcję z siecią elektrotechniczną, w szczególności przemysłowe systemy sterowania, które mogą być wykorzystywane do przesyłu energii, dystrybucji i wytwarzania energii, a także do gromadzenia i przekazywania związanych z tym informacji. Przepisy te powinny zapewniać, aby produkty ICT, usługi ICT i procesy ICT, które mają być zamawiane, spełniały odpowiednie cele w zakresie bezpieczeństwa określone w art. 51 rozporządzenia (UE) 2019/881.

(22) 16  Niedawne cyberataki wskazują, że podmioty w coraz większym stopniu stają się celem ataków w łańcuchu dostaw. Takie ataki w łańcuchu dostaw nie tylko mają wpływ na poszczególne podmioty objęte zakresem stosowania, lecz także mogą wywołać efekt kaskadowy w postaci większych ataków na podmioty, do których są one podłączone w sieci elektroenergetycznej. W związku z tym dodano przepisy i zalecenia mające pomóc w łagodzeniu ryzyka cyberbezpieczeństwa związanego z procesami dotyczącymi łańcucha dostaw, w szczególności zamówień publicznych, które mają wpływ na transgraniczne przepływy energii elektrycznej.

(23) Ponieważ wykorzystywanie podatności sieci i systemów informatycznych może powodować znaczące zakłócenia w dostawie energii i szkody dla gospodarki oraz konsumentów, należy szybko identyfikować te podatności i eliminować je w celu ograniczenia ryzyka. Aby ułatwić skuteczne wdrożenie niniejszego rozporządzenia, odpowiednie podmioty i właściwe organy powinny współpracować w zakresie prowadzenia ćwiczeń i testów, które uznaje się za odpowiednie do tego celu, w tym wymiany informacji na temat cyberzagrożeń, cyberataków, podatności, narzędzi i metod, taktyki, technik i procedur, gotowości w zakresie zarządzania kryzysowego w dziedzinie cyberbezpieczeń- stwa i innych ćwiczeń. Ponieważ technologia stale się rozwija, a cyfryzacja sektora energii elektrycznej postępuje szybko, wdrażanie przyjętych przepisów nie powinno szkodzić innowacjom i nie powinno stanowić bariery w dostępie do rynku energii elektrycznej i późniejszego stosowania innowacyjnych rozwiązań, które przyczyniają się do efektywności i zrównoważonego charakteru systemu elektroenergetycznego.

(24) Informacje gromadzone na potrzeby monitorowania wdrażania niniejszego rozporządzenia powinny być racjonalnie ograniczone zgodnie z zasadą ograniczonego dostępu. Zainteresowanym stronom należy wyznaczyć możliwe do zachowania i skuteczne terminy przekazywania takich informacji. Należy unikać podwójnego powiadamiania.

(25) Ochrona w zakresie cyberbezpieczeństwa nie kończy się na granicach Unii. Bezpieczny system wymaga zaangażowania sąsiadujących państw trzecich. Unia i jej państwa członkowskie powinny dążyć do wspierania sąsiadujących państw trzecich, których infrastruktura elektroenergetyczna jest podłączona do sieci europejskiej, w stosowaniu przepisów dotyczących cyberbezpieczeństwa analogicznych z przepisami określonymi w niniejszym rozporządzeniu.

(26) Aby poprawić koordynację bezpieczeństwa na wczesnym etapie, przetestować przyszłe wiążące warunki i metody, ENTSO energii elektrycznej, organizacja OSD UE i właściwe organy powinny rozpocząć opracowywanie niewiążących wytycznych niezwłocznie po wejściu w życie niniejszego rozporządzenia. Wytyczne te posłużą jako punkt odniesienia dla opracowania przyszłych warunków i metod. Jednocześnie właściwe organy powinny wskazać podmioty jako kandydatów do miana podmiotów o dużym wpływie i podmiotów o krytycznym wpływie, aby dobrowolnie rozpoczęły wypełnianie obowiązków.

(27) Niniejsze rozporządzenie zostało opracowane w ścisłej współpracy z ACER, ENISA, ENTSO energii elektrycznej, organizacją OSD UE i innymi zainteresowanymi podmiotami w celu przyjęcia skutecznych, zrównoważonych i proporcjonalnych przepisów w przejrzysty i partycypacyjny sposób.

(28) 17  Niniejsze rozporządzenie uzupełnia i wzmacnia środki zarządzania kryzysowego ustanowione w unijnych ramach reagowania w sytuacji kryzysu cyberbezpieczeństwa określone w zaleceniu Komisji (UE) 2017/1584 18 . Cyberatak może ponadto spowodować kryzys elektroenergetyczny zdefiniowany w art. 2 pkt 9 rozporządzenia (UE) 2019/941, który ma wpływ na transgraniczne przepływy energii elektrycznej, przyczynić się do takiego kryzysu lub zbiec się z nim. Ten kryzys elektroenergetyczny może prowadzić do jednoczesnego kryzysu elektroenergetycznego zdefiniowanego w art. 2 pkt 10 rozporządzenia (UE) 2019/941. Taki incydent mógłby mieć wpływ również na inne sektory zależne od bezpieczeństwa dostaw energii elektrycznej. Jeżeli taki incydent przerodzi się w incydent cyberbezpieczeństwa na dużą skalę w rozumieniu art. 16 dyrektywy (UE) 2022/2555 zastosowanie powinny mieć przepisy tego artykułu ustanawiające europejską sieć organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa ("EU-CyCLONe"). W odniesieniu do zarządzania kryzysowego na szczeblu unijnym odpowiednie strony powinny opierać się na zintegrowanych uzgodnieniach UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych ("uzgodnienia IPCR") na podstawie decyzji wykonawczej Rady (UE) 2018/1993 19 .

(29) Niniejsze rozporządzenie pozostaje bez uszczerbku dla kompetencji państw członkowskich w zakresie przedsięwzięcia środków niezbędnych do zapewnienia ochrony podstawowych interesów ich bezpieczeństwa, do ochrony polityki i bezpieczeństwa publicznego oraz do umożliwienia prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw zgodnie z prawem Unii. Zgodnie z art. 346 TFUE żadne państwo członkowskie nie ma obowiązku udzielania informacji, których ujawnienie uznaje za sprzeczne z podstawowymi interesami jego bezpieczeństwa.

(30) Mimo iż niniejsze rozporządzenie ma zasadniczo zastosowanie do podmiotów prowadzących działalność w zakresie wytwarzania energii elektrycznej w elektrowniach jądrowych, niektóre rodzaje takiej działalności mogą być powiązane z bezpieczeństwem narodowym.

(31) Do przetwarzania danych osobowych na podstawie niniejszego rozporządzenia zastosowanie powinny mieć unijne przepisy dotyczące ochrony danych oraz unijne przepisy dotyczące prywatności. W szczególności niniejsze rozporządzenie pozostaje bez uszczerbku dla rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 20 , dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady 21  oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 22 . Niniejsze rozporządzenie nie powinno zatem wpływać między innymi na zadania i uprawnienia organów właściwych do spraw monitorowania zgodności z obowiązującymi unijnymi przepisami dotyczącymi ochrony danych i unijnymi przepisami dotyczącymi ochrony prywatności.

(32) Biorąc pod uwagę znaczenie współpracy międzynarodowej w dziedzinie cyberbezpieczeństwa, właściwe organy odpowiedzialne za wykonywanie zadań powierzonych im na mocy niniejszego rozporządzenia i wyznaczone przez państwa członkowskie powinny mieć możliwość uczestnictwa w międzynarodowych sieciach współpracy. W związku z tym do celów wykonywania swoich zadań właściwe organy powinny mieć możliwość wymiany informacji, w tym danych osobowych, z właściwymi organami państw trzecich, pod warunkiem że spełnione są warunki określone w unijnych przepisach dotyczących ochrony danych odnoszące się do przekazywania danych osobowych do państw trzecich, między innymi warunki określone w art. 49 rozporządzenia (UE) 2016/679.

(33) Przetwarzanie danych osobowych, w zakresie, w jakim jest to konieczne i proporcjonalne do zapewnienia bezpieczeństwa aktywów przez podmioty o dużym wpływie lub podmioty o krytycznym wpływie można uznać za zgodne z prawem na podstawie tego, że takie przetwarzanie jest zgodne z obowiązkiem prawnym, któremu podlega administrator, zgodnie z wymogami art. 6 ust. 1 lit. c) i art. 6 ust. 3 rozporządzenia (UE) 2016/679. Przetwarzanie danych osobowych może być również konieczne ze względu na uzasadnione interesy podmiotów o dużym wpływie lub podmiotów o krytycznym wpływie, a także dostawców technologii i usług w zakresie bezpieczeństwa działających w imieniu tych podmiotów, zgodnie z art. 6 ust. 1 lit. f) rozporządzenia (UE) 2016/679, w tym w przypadku gdy takie przetwarzanie jest niezbędne w związku z mechanizmami wymiany informacji o cyberbezpieczeństwie lub do dobrowolnego zgłaszania odpowiednich informacji zgodnie z niniejszym rozporządzeniem. Środki związane z zapobieganiem cyberatakom, ich wykrywaniem i identyfikacją, ograniczaniem ich zasięgu i ich analizowaniem oraz reagowaniem na nie, środki zwiększające świadomość konkretnych cyberzagrożeń, wymianę informacji w kontekście usuwania oraz skoordynowanego ujawniania podatności, dobrowolną wymianę informacji na temat tych cyberataków, a także na temat cyberzagrożeń i podatności, oznak naruszenia integralności systemu, taktyk, technik i procedur, ostrzeżeń dotyczących cyberbezpieczeństwa i narzędzi konfiguracji mogą wymagać przetwarzania pewnych kategorii danych osobowych, takich jak adresy IP, ujednolicone formaty adresowania zasobów (URL), nazwy domen, adresy poczty elektronicznej oraz znaczniki czasu, w przypadku gdy ujawniane są w nich dane osobowe. Przetwarzanie danych osobowych przez właściwe organy, pojedyncze punkty kontaktowe i CSIRT może stanowić obowiązek prawny lub może zostać uznane za niezbędne do wykonania zadania w interesie publicznym lub sprawowania władzy publicznej powierzonej administratorowi na podstawie art. 6 ust. 1 lit. c) lub e) i art. 6 ust. 3 rozporządzenia (UE) 2016/679 lub do realizacji uzasadnionego interesu podmiotów o dużym wpływie lub podmiotów o krytycznym wpływie, o którym mowa w art. 6 ust. 1 lit. f) tego rozporządzenia. Ponadto w prawie krajowym można ustanowić przepisy umożliwiające właściwym organom, pojedynczym punktom kontaktowym i CSIRT - w zakresie, w jakim jest to konieczne i proporcjonalne do zapewnienia bezpieczeństwa sieci i systemów informatycznych podmiotów o dużym wpływie lub podmiotów o krytycznym wpływie - przetwarzanie szczególnych kategorii danych osobowych zgodnie z art. 9 rozporządzenia (UE) 2016/679, w szczególności poprzez ustanowienie odpowiednich i konkretnych środków ochrony praw podstawowych i interesów osób fizycznych, w tym ograniczeń technicznych w zakresie ponownego wykorzystywania takich danych oraz stosowania najnowocześniejszych środków bezpieczeństwa i ochrony prywatności, takich jak pseudonimizacja lub szyfrowanie, jeżeli anonimizacja może mieć znaczący wpływ na zamierzony cel.

(34) W wielu przypadkach istnieje niebezpieczeństwo naruszenia danych osobowych w wyniku cyberataków. W tym kontekście właściwe organy powinny współpracować oraz wymieniać się informacjami dotyczącymi wszystkich istotnych kwestii z organami, o których mowa w rozporządzeniu (UE) 2016/679 i dyrektywie 2002/58/WE.

(35) Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych; swoją opinię wydał on w dniu 17 listopada 2023 r.,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE: