Art. 13
Requisitos de seguridad
En vigor desde 30 ene 2026
Artículo 13
Requisitos de seguridad
1. Las IIP y los RRM establecerán y mantendrán políticas, procedimientos y protocolos en materia de seguridad física y electrónica que se basen en las mejores prácticas y sean coherentes con las normas reconocidas internacionalmente. Dichas políticas, procedimientos y protocolos estarán diseñados para:
a)
proteger los sistemas informáticos de las IIP y los RRM contra el uso indebido o el acceso no autorizado;
b)
minimizar el riesgo de incidentes contra los sistemas de información, tal como estos se definen en el artículo 6, punto 6, de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (7);
c)
impedir la divulgación no autorizada de información confidencial procedente de clientes de IIP y de clientes de RRM a la IIP o el RRM y de la IIP o el RRM a la Agencia;
d)
garantizar la confidencialidad, integridad, disponibilidad, autenticidad, rendición de cuentas y fiabilidad de la información tratada en los sistemas de la IIP y del RRM y, en el caso de las IIP, evitar fugas de la información tratada antes de su publicación;
e)
garantizar el no repudio mediante firmas electrónicas o certificados, o mediante cualquier otro mecanismo que proporcione un nivel equivalente de no repudio.
2. Las IIP y los RRM establecerán los requisitos para los permisos de acceso a los datos, así como la finalidad y el alcance de dicho acceso, y cualquier restricción al uso de los datos. Establecerán y mantendrán mecanismos de seguridad para detectar y gestionar rápidamente los riesgos a que se refiere el apartado 1, incluidos los siguientes:
a)
un entorno seguro para la recogida y gestión de datos de los clientes de IIP y los clientes de RRM, así como para la presentación de informes de información privilegiada y la comunicación de registros de datos a la Agencia;
b)
interfaces de aplicación especificadas por la Agencia;
c)
una conexión de red protegida y segregada con la Agencia, según lo especificado por esta.
3. Los solicitantes podrán demostrar el cumplimiento de los requisitos de seguridad física y electrónica a los que se refiere el apartado 1 mediante la presentación a la Agencia de un certificado válido según normas de la serie ISO/IEC 27000 sobre sistemas de gestión de la seguridad de la información o certificaciones equivalentes. La Agencia podrá pedir a los solicitantes aclaraciones adicionales sobre la certificación facilitada y una actualización de dicha certificación después de su fecha de expiración.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2026:255:oj#art-13