Art. 46
Principios para la protección de la información intercambiada
En vigor desde 11 mar 2024
Artículo 46
Principios para la protección de la información intercambiada
1. Las entidades contempladas en el artículo 2, apartado 1, velarán por que la información facilitada, recibida, intercambiada o transmitida con arreglo al presente Reglamento solo sea accesible cuando sea necesario conocerla y de conformidad con las normas nacionales y de la Unión pertinentes en materia de seguridad de la información.
2. Las entidades contempladas en el artículo 2, apartado 1, velarán por que la información facilitada, recibida, intercambiada o transmitida con arreglo al presente Reglamento se trate y sea objeto de seguimiento durante su ciclo de vida completo, y por que solo pueda divulgarse al final de su ciclo de vida una vez anonimizada.
3. Las entidades contempladas en el artículo 2, apartado 1, velarán por que se adopten todas las medidas de protección de carácter organizativo y técnico necesarias para salvaguardar y proteger la confidencialidad, integridad, disponibilidad y no rechazo de la información facilitada, recibida, intercambiada o transmitida con arreglo al presente Reglamento, independientemente de los medios utilizados. Las medidas de protección:
a)
serán proporcionadas;
b)
tendrán en cuenta los riesgos para la ciberseguridad relacionados con amenazas conocidas pasadas y emergentes a las que pueda estar sujeta dicha información en el contexto del presente Reglamento;
c)
en la medida de lo posible, se basarán en normas y mejores prácticas nacionales, europeas o internacionales;
d)
estarán documentadas.
4. Las entidades contempladas en el artículo 2, apartado 1, velarán por que toda persona a la que se conceda acceso a la información facilitada, recibida, intercambiada o transmitida con arreglo al presente Reglamento sea informada de las normas de seguridad aplicables a nivel de entidad y de las medidas y procedimientos pertinentes para la protección de la información. Dichas entidades se asegurarán de que la persona en cuestión reconozca la responsabilidad de proteger la información siguiendo las instrucciones de la sesión informativa.
5. Las entidades contempladas en el artículo 2, apartado 1, velarán por que el acceso a la información facilitada, recibida, intercambiada o transmitida con arreglo al presente Reglamento se limite a las personas:
a)
que estén autorizadas a acceder a dicha información según sus funciones y que se ciñan a la ejecución de las tareas asignadas;
b)
cuyos principios éticos y de integridad haya podido evaluar la entidad, y para quienes no haya pruebas de resultados negativos en una comprobación de antecedentes realizada para evaluar la fiabilidad de la persona de conformidad con las mejores prácticas y los requisitos estándar de seguridad de la entidad y, en caso necesario, con las disposiciones legales y reglamentarias nacionales.
6. Las entidades contempladas en el artículo 2, apartado 1, deberán contar con el acuerdo escrito de la persona física o jurídica que haya creado o facilitado originalmente la información, antes de facilitar dicha información a un tercero que no entre en el ámbito de aplicación del presente Reglamento.
7. Una entidad contemplada en el artículo 2, apartado 1, podrá considerar que esta información deberá ponerse en común sin cumplir lo dispuesto en los apartados 1 y 4 del presente artículo para evitar una crisis simultánea de electricidad cuyas causas raíz tengan que ver con la ciberseguridad o cualquier crisis transfronteriza dentro de la Unión en otro sector. En tal caso:
a)
consultará a la autoridad competente y esta deberá autorizarla a poner en común dicha información;
b)
anonimizará dicha información sin perder los elementos necesarios para informar al público de un riesgo inminente y grave para los flujos transfronterizos de electricidad, así como de las posibles medidas de mitigación;
c)
salvaguardará la identidad del originador y de las entidades que hayan tratado dicha información con arreglo al presente Reglamento.
8. No obstante lo dispuesto en el apartado 6 del presente artículo, las autoridades competentes podrán proporcionar la información facilitada, recibida, intercambiada o transmitida con arreglo al presente Reglamento a un tercero no contemplado en el artículo 2, apartado 1, sin el consentimiento previo por escrito del originador de la información, pero informándole lo antes posible. Antes de divulgar cualquier información facilitada, recibida, intercambiada o transmitida con arreglo al presente Reglamento a un tercero no contemplado en el artículo 2, apartado 1, la autoridad competente interesada se asegurará razonablemente de que el tercero interesado tenga conocimiento de las normas de seguridad vigentes, y recibirá garantías razonables de que el tercero en cuestión puede proteger la información recibida de conformidad con los apartados 1 a 5 del presente artículo. La autoridad competente anonimizará dicha información sin perder los elementos necesarios para informar al público de un riesgo inminente y grave para los flujos transfronterizos de electricidad, así como de las posibles medidas de mitigación, y salvaguardará la identidad del originador de la información. En tal caso, el tercero no contemplado en el artículo 2, apartado 1, protegerá la información recibida de conformidad con las disposiciones ya vigentes a nivel de entidad o, cuando ello no sea posible, con las disposiciones e instrucciones proporcionadas por la autoridad competente pertinente.
9. El presente artículo no se aplicará a las entidades no contempladas en el artículo 2, apartado 1, a las que se facilite información con arreglo al apartado 6 del presente artículo. En este caso, se aplicará el apartado 7 del presente artículo, o la autoridad competente podrá facilitar a dicha entidad disposiciones por escrito para su aplicación en los casos en que se reciba información con arreglo al presente Reglamento.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1366:oj#art-46