Règlement délégué (UE) 2024/1366 de la Commission du 11 mars 2024 complétant le règlement (UE) 2019/943 du Parlement européen et du Conseil en établissant un code de réseau sur des règles sectorielles concernant les aspects liés à la cybersécurité des flux transfrontaliers d’électricité

JOUE Série L du 24 mai 2024

Ce texte vient compléter le règlement 2019/943 du 5 juin 2019 sur le marché intérieur de l’électricité.
Pour ce faire, il établit un code de réseau qui fixe des règles sectorielles concernant les aspects liés à la cybersécurité des flux transfrontaliers d’électricité, y compris des règles sur les exigences minimales communes, la planification, la surveillance, les rapports et la gestion de crise.
Il s’applique aux aspects liés à la cybersécurité des flux transfrontaliers d’électricité dans le cadre des activités de certaines entités, si elles sont identifiées comme des entités à fort impact ou à impact critique. Sont notamment concernées les entreprises d’électricité, les opérateurs désignés du marché de l’électricité, les places de marché organisées ou les « marchés organisés » qui organisent des transactions sur des produits pertinents pour les flux transfrontaliers d’électricité, les prestataires critiques de services de l’information et de la communication et le réseau européen des gestionnaires de réseau de transport (REGRT).
Dans ce cadre, ce texte édicte des exigences concernant notamment :
– l’évaluation des risques et l’identification des risques de cybersécurité pertinents. Au plus tard le 13 mars 2025, les gestionnaires de réseau de transport (GRT), avec l’aide du REGRT pour l’électricité doivent soumettre une proposition de méthodes d’évaluation des risques de cybersécurité au niveau de l’Union, au niveau régional et au niveau des États membres. Le texte définit le contenu de ces méthodes d’évaluation des risques de cybersécurité. Lorsque ces méthodes auront été approuvées, une évaluation des risques de cybersécurité à ces différentes échelles devra être menée régulièrement ;
– le cadre commun de cybersécurité dans le secteur de l’électricité. Ce cadre se compose de contrôles et du système de gestion de la cybersécurité défini par le texte (ce qui inclut notamment des contrôles minimaux et avancés de cybersécurité) ;
– des recommandations en matière de passation de marchés dans le domaine de la cybersécurité ;
– les flux d’informations, les cyberattaques et la gestion des crises. En particulier, lorsque l’autorité compétente établit qu’une crise électrique est liée à une cyberattaque ayant un impact sur plusieurs États membres, les autorités compétentes des États membres touchés et les autorités de gestion des crises de cybersécurité de ces États membres créent conjointement un groupe ad hoc de coordination de crise transfrontalière ;
– le cadre d’exercices de cybersécurité dans le secteur de l’électricité.
Il organise des mesures transitoires.
Afin de respecter ces nouvelles dispositions, au plus tard le 13 décembre 2024, chaque État membre doit désigner une autorité gouvernementale ou réglementaire nationale chargée d’exécuter les tâches qui lui sont assignées.