Art. 14
Incidentes de seguridad
En vigor desde 30 ene 2026
Artículo 14
Incidentes de seguridad
1. Las IIP y los RRM adoptarán las medidas enumeradas en el apartado 2 en caso de que se produzca cualquiera de los siguientes incidentes:
a)
uso indebido o acceso no autorizado a los sistemas informáticos de la IIP o del RRM;
b)
incidentes en los sistemas de información, tal como se definen en el artículo 6, punto 6, de la Directiva (UE) 2022/2555;
c)
la divulgación no autorizada de información confidencial procedente de clientes de IIP y de clientes de RRM hacia la IIP o el RRM y procedente de la IIP o el RRM hacia la Agencia;
d)
la vulneración de la confidencialidad, integridad, disponibilidad, autenticidad, rendición de cuentas y fiabilidad de la información tratada en los sistemas de las IIP y de los RRM y, en el caso de las IIP, fugas de la información tratada antes de su publicación;
e)
todo acontecimiento que impida o afecte al no repudio de los datos.
2. Las IIP y los RRM deberán:
a)
notificar a la Agencia el incidente en un plazo de 24 horas a partir de su conocimiento;
b)
notificar el incidente a los clientes de la IIP y a los clientes del RRM, si procede, que se hayan visto o puedan haberse visto afectados por el incidente en un plazo de 48 horas a partir de su conocimiento;
c)
proporcionar a la Agencia una evaluación inicial del incidente en un plazo de 72 horas a partir de su conocimiento;
d)
facilitar a la Agencia un informe detallado sobre el incidente en el plazo de un mes a partir de su conocimiento, en el que se describa la naturaleza del incidente, las medidas adoptadas para abordarlo y las iniciativas aplicadas para evitar sucesos similares en el futuro.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2026:255:oj#art-14