Art. 46. - Zasady ochrony informacji podlegających wymianie - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej
Dzienniki UE
Dz.U.UE.L.2024.1366
Akt obowiązujący Wersja od: 24 maja 2024 r.
Artykuł 46
Zasady ochrony informacji podlegających wymianie
1.
Podmioty wymienione w art. 2 ust. 1 zapewniają, aby informacje dostarczane, otrzymywane, wymieniane lub przekazywane na podstawie niniejszego rozporządzenia były dostępne wyłącznie na zasadzie ograniczonego dostępu i zgodnie z odpowiednimi przepisami Unii oraz przepisami krajowymi dotyczącymi bezpieczeństwa informacji.2.
Podmioty wymienione w art. 2 ust. 1 zapewniają, aby informacje dostarczane, otrzymywane, wymieniane lub przekazywane na podstawie niniejszego rozporządzenia były przetwarzane i monitorowane przez cały cykl życia tych informacji oraz aby informacje te można było udostępnić po zakończeniu ich cyklu życia dopiero wtedy, gdy zostaną zanonimizo- wane.3.
Podmioty wymienione w art. 2 ust. 1 zapewniają wprowadzenie wszelkich niezbędnych środków ochrony o charakterze organizacyjnym i technicznym w celu zabezpieczenia i ochrony poufności, integralności, dostępności i niezaprzeczal- ności informacji dostarczanych, otrzymywanych, wymienianych lub przekazywanych na podstawie niniejszego rozporządzenia, niezależnie od wykorzystanych środków. Środki ochrony powinny:a)
być proporcjonalne;b)
uwzględniać ryzyko w cyberprzestrzeni związane ze znanymi przeszłymi i pojawiającymi się zagrożeniami, którym takie informacje mogą podlegać w kontekście niniejszego rozporządzenia;c)
w miarę możliwości opierać się na krajowych, europejskich lub międzynarodowych normach i najlepszych praktykach;d)
być odpowiednio udokumentowane.4.
Podmioty wymienione w art. 2 ust. 1 zapewniają, aby każda osoba fizyczna, której przyznano dostęp do informacji dostarczanych, otrzymywanych, wymienianych lub przekazywanych na podstawie niniejszego rozporządzenia, była informowana o zasadach bezpieczeństwa mających zastosowanie na poziomie podmiotu oraz o środkach i procedurach mających znaczenie do celów ochrony informacji. Podmioty te zapewniają, aby zainteresowana osoba fizyczna uznała odpowiedzialność za ochronę informacji zgodnie z instrukcjami przekazanymi w ramach briefingu.5.
Podmioty wymienione w art. 2 ust. 1 zapewniają, aby dostęp do informacji dostarczanych, otrzymywanych, wymienianych lub przekazywanych na podstawie niniejszego rozporządzenia był ograniczony do osób fizycznych:a)
które są uprawnione do dostępu do tych informacji w oparciu o ich funkcje i był ograniczony do wykonywania powierzonych im zadań;b)
w odniesieniu do których podmiot był w stanie ocenić zasady etyki i uczciwości, a także w odniesieniu do których nie ma dowodów na negatywny wynik sprawdzenia przeszłości w celu oceny wiarygodności danej osoby fizycznej zgodnie z najlepszymi praktykami i standardowymi wymogami bezpieczeństwa stosowanymi przez podmiot oraz, w razie potrzeby, z krajowymi przepisami ustawowymi i wykonawczymi.6.
Przed przekazaniem informacji osobie trzeciej nieobjętej zakresem stosowania niniejszego rozporządzenia podmioty wymienione w art. 2 ust. 1 muszą uzyskać pisemną zgodę osoby fizycznej lub prawnej, która pierwotnie stworzyła lub przekazała te informacje.7.
Podmiot wymieniony w art. 2 ust. 1 może uznać, że informacje te muszą zostać udostępnione bez zapewnienia zgodności z ust. 1 i 4 niniejszego artykułu, aby zapobiec jednoczesnemu kryzysowi elektroenergetycznemu, którego podstawową przyczyną jest cyberbezpieczeństwo, lub jakimkolwiek kryzysom transgranicznym w Unii w innym sektorze. W takim przypadku podmiot ten:a)
zasięga opinii właściwego organu i zostaje przez ten organ upoważniony do dzielenia się takimi informacjami;b)
anonimizuje takie informacje, nie tracąc przy tym elementów niezbędnych, by poinformować opinię publicznąo nadchodzącym i poważnym zagrożeniu dla transgranicznych przepływów energii elektrycznej oraz o możliwych środkach łagodzących;
c)
zabezpiecza tożsamość inicjatora i podmiotów, które przetwarzały takie informacje na podstawie niniejszego rozporządzenia.8.
Na zasadzie odstępstwa od ust. 6 niniejszego artykułu właściwe organy mogą przekazywać informacje dostarczone, otrzymane, wymienione lub przekazane na podstawie niniejszego rozporządzenia osobie trzeciej niewymienionej w art. 2 ust. 1 bez uprzedniej pisemnej zgody inicjatora informacji, ale informując go w jak najkrótszym czasie. Przed ujawnieniem jakichkolwiek informacji dostarczonych, otrzymanych, wymienionych lub przekazanych na podstawie niniejszego rozporządzenia osobie trzeciej niewymienionej w art. 2 ust. 1 zainteresowany właściwy organ w sposób uzasadniony zapewnia, aby dana osoba trzecia znała obowiązujące przepisy bezpieczeństwa, i uzyskuje wystarczającą pewność, że dana osoba trzecia może chronić otrzymane informacje zgodnie z ust. 1-5 niniejszego artykułu. Właściwy organ anonimizuje takie informacje, nie tracąc przy tym elementów niezbędnych, by poinformować opinię publiczną o bezpośrednim i poważnym zagrożeniu dla transgranicznych przepływów energii elektrycznej oraz o możliwych środkach łagodzących, a także chroni tożsamość inicjatora informacji. W takim przypadku osoba trzecia niewymieniona w art. 2 ust. 1 chroni otrzymane informacje zgodnie z przepisami obowiązującymi już na poziomie podmiotu lub, jeżeli nie jest to możliwe, zgodnie z przepisami i instrukcjami przekazanymi przez odpowiedni właściwy organ.9.
Niniejszy artykuł nie ma zastosowania do podmiotów niewymienionych w art. 2 ust. 1, które otrzymują informacje zgodnie z ust. 6 niniejszego artykułu. W takim przypadku stosuje się ust. 7 niniejszego artykułu lub właściwy organ może przekazać temu podmiotowi na piśmie przepisy, które będą miały zastosowanie w przypadku otrzymania informacji na podstawie niniejszego rozporządzenia.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.