Rozdział 7 - OCHRONA INFORMACJI - Rozporządzenie delegowane 2024/1366 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 poprzez ustanowienie kodeksu sieci dotyczącego zasad sektorowych w zakresie aspektów cyberbezpieczeństwa w transgranicznych przepływach energii elektrycznej

Dzienniki UE

Dz.U.UE.L.2024.1366

Akt obowiązujący
Wersja od: 24 maja 2024 r.

ROZDZIAŁ  VII

OCHRONA INFORMACJI

Artykuł  46

Zasady ochrony informacji podlegających wymianie

1. 
Podmioty wymienione w art. 2 ust. 1 zapewniają, aby informacje dostarczane, otrzymywane, wymieniane lub przekazywane na podstawie niniejszego rozporządzenia były dostępne wyłącznie na zasadzie ograniczonego dostępu i zgodnie z odpowiednimi przepisami Unii oraz przepisami krajowymi dotyczącymi bezpieczeństwa informacji.
2. 
Podmioty wymienione w art. 2 ust. 1 zapewniają, aby informacje dostarczane, otrzymywane, wymieniane lub przekazywane na podstawie niniejszego rozporządzenia były przetwarzane i monitorowane przez cały cykl życia tych informacji oraz aby informacje te można było udostępnić po zakończeniu ich cyklu życia dopiero wtedy, gdy zostaną zanonimizo- wane.
3. 
Podmioty wymienione w art. 2 ust. 1 zapewniają wprowadzenie wszelkich niezbędnych środków ochrony o charakterze organizacyjnym i technicznym w celu zabezpieczenia i ochrony poufności, integralności, dostępności i niezaprzeczal- ności informacji dostarczanych, otrzymywanych, wymienianych lub przekazywanych na podstawie niniejszego rozporządzenia, niezależnie od wykorzystanych środków. Środki ochrony powinny:
a)
być proporcjonalne;
b)
uwzględniać ryzyko w cyberprzestrzeni związane ze znanymi przeszłymi i pojawiającymi się zagrożeniami, którym takie informacje mogą podlegać w kontekście niniejszego rozporządzenia;
c)
w miarę możliwości opierać się na krajowych, europejskich lub międzynarodowych normach i najlepszych praktykach;
d)
być odpowiednio udokumentowane.
4. 
Podmioty wymienione w art. 2 ust. 1 zapewniają, aby każda osoba fizyczna, której przyznano dostęp do informacji dostarczanych, otrzymywanych, wymienianych lub przekazywanych na podstawie niniejszego rozporządzenia, była informowana o zasadach bezpieczeństwa mających zastosowanie na poziomie podmiotu oraz o środkach i procedurach mających znaczenie do celów ochrony informacji. Podmioty te zapewniają, aby zainteresowana osoba fizyczna uznała odpowiedzialność za ochronę informacji zgodnie z instrukcjami przekazanymi w ramach briefingu.
5. 
Podmioty wymienione w art. 2 ust. 1 zapewniają, aby dostęp do informacji dostarczanych, otrzymywanych, wymienianych lub przekazywanych na podstawie niniejszego rozporządzenia był ograniczony do osób fizycznych:
a)
które są uprawnione do dostępu do tych informacji w oparciu o ich funkcje i był ograniczony do wykonywania powierzonych im zadań;
b)
w odniesieniu do których podmiot był w stanie ocenić zasady etyki i uczciwości, a także w odniesieniu do których nie ma dowodów na negatywny wynik sprawdzenia przeszłości w celu oceny wiarygodności danej osoby fizycznej zgodnie z najlepszymi praktykami i standardowymi wymogami bezpieczeństwa stosowanymi przez podmiot oraz, w razie potrzeby, z krajowymi przepisami ustawowymi i wykonawczymi.
6. 
Przed przekazaniem informacji osobie trzeciej nieobjętej zakresem stosowania niniejszego rozporządzenia podmioty wymienione w art. 2 ust. 1 muszą uzyskać pisemną zgodę osoby fizycznej lub prawnej, która pierwotnie stworzyła lub przekazała te informacje.
7. 
Podmiot wymieniony w art. 2 ust. 1 może uznać, że informacje te muszą zostać udostępnione bez zapewnienia zgodności z ust. 1 i 4 niniejszego artykułu, aby zapobiec jednoczesnemu kryzysowi elektroenergetycznemu, którego podstawową przyczyną jest cyberbezpieczeństwo, lub jakimkolwiek kryzysom transgranicznym w Unii w innym sektorze. W takim przypadku podmiot ten:
a)
zasięga opinii właściwego organu i zostaje przez ten organ upoważniony do dzielenia się takimi informacjami;
b)
anonimizuje takie informacje, nie tracąc przy tym elementów niezbędnych, by poinformować opinię publiczną

o nadchodzącym i poważnym zagrożeniu dla transgranicznych przepływów energii elektrycznej oraz o możliwych środkach łagodzących;

c)
zabezpiecza tożsamość inicjatora i podmiotów, które przetwarzały takie informacje na podstawie niniejszego rozporządzenia.
8. 
Na zasadzie odstępstwa od ust. 6 niniejszego artykułu właściwe organy mogą przekazywać informacje dostarczone, otrzymane, wymienione lub przekazane na podstawie niniejszego rozporządzenia osobie trzeciej niewymienionej w art. 2 ust. 1 bez uprzedniej pisemnej zgody inicjatora informacji, ale informując go w jak najkrótszym czasie. Przed ujawnieniem jakichkolwiek informacji dostarczonych, otrzymanych, wymienionych lub przekazanych na podstawie niniejszego rozporządzenia osobie trzeciej niewymienionej w art. 2 ust. 1 zainteresowany właściwy organ w sposób uzasadniony zapewnia, aby dana osoba trzecia znała obowiązujące przepisy bezpieczeństwa, i uzyskuje wystarczającą pewność, że dana osoba trzecia może chronić otrzymane informacje zgodnie z ust. 1-5 niniejszego artykułu. Właściwy organ anonimizuje takie informacje, nie tracąc przy tym elementów niezbędnych, by poinformować opinię publiczną o bezpośrednim i poważnym zagrożeniu dla transgranicznych przepływów energii elektrycznej oraz o możliwych środkach łagodzących, a także chroni tożsamość inicjatora informacji. W takim przypadku osoba trzecia niewymieniona w art. 2 ust. 1 chroni otrzymane informacje zgodnie z przepisami obowiązującymi już na poziomie podmiotu lub, jeżeli nie jest to możliwe, zgodnie z przepisami i instrukcjami przekazanymi przez odpowiedni właściwy organ.
9. 
Niniejszy artykuł nie ma zastosowania do podmiotów niewymienionych w art. 2 ust. 1, które otrzymują informacje zgodnie z ust. 6 niniejszego artykułu. W takim przypadku stosuje się ust. 7 niniejszego artykułu lub właściwy organ może przekazać temu podmiotowi na piśmie przepisy, które będą miały zastosowanie w przypadku otrzymania informacji na podstawie niniejszego rozporządzenia.
Artykuł  47

Poufność informacji

1. 
Wszelkie informacje dostarczane, otrzymywane, wymieniane lub przekazywane na podstawie niniejszego rozporządzenia podlegają warunkom tajemnicy zawodowej określonym w ust. 2-5 niniejszego artykułu niniejszego rozporządzenia oraz wymogom określonym w art. 65 rozporządzenia (UE) 2019/943. Wszelkie informacje dostarczane, otrzymywane, wymieniane lub przekazywane między podmiotami wymienionymi w art. 2 niniejszego rozporządzenia do celów wdrożenia niniejszego rozporządzenia podlegają ochronie z uwzględnieniem poziomu poufności informacji zastosowanego przez inicjatora.
2. 
Do podmiotów wymienionych w art. 2 ma zastosowanie obowiązek zachowania tajemnicy zawodowej.
3. 
Właściwe organy odpowiedzialne za cyberbezpieczeństwo, krajowe organy regulacyjne, właściwe organy ds. gotowości na wypadek zagrożeń i CSIRT wymieniają się wszelkimi informacjami niezbędnymi do wykonywania ich zadań.
4. 
Wszelkie informacje otrzymywane, wymieniane lub przekazywane między podmiotami wymienionymi w art. 2 w ust. 1 do celów wdrożenia art. 23 są anonimizowane i agregowane.
5. 
Informacje, które każdy podmiot lub organ podlegający przepisom niniejszego rozporządzenia otrzymał w trakcie wykonywania swoich obowiązków, nie mogą zostać ujawnione żadnym innym podmiotom ani organom, bez uszczerbku dla przypadków objętych prawem krajowym, innymi przepisami niniejszego rozporządzenia bądź innymi mającymi zastosowanie przepisami Unii.
6. 
Bez uszczerbku dla przepisów krajowych lub unijnych organ, podmiot lub osoba fizyczna, które otrzymują informacje na podstawie niniejszego rozporządzenia, nie mogą wykorzystywać ich do żadnych innych celów niż wykonywanie swoich obowiązków wynikających z niniejszego rozporządzenia.
7. 
ACER, po konsultacji z ENISA, wszystkimi właściwymi organami, ENTSO energii elektrycznej i organizacją OSD UE do dnia 13 czerwca 2025 r. wydaje wytyczne dotyczące mechanizmów wymiany informacji dla wszystkich podmiotów wymienionych w art. 2 ust. 1, a w szczególności przewidywanych przepływów wymiany informacji, oraz dotyczące metod anonimizacji i agregowania informacji do celów wykonywania przepisów niniejszego artykułu.
8. 
Informacje, które są poufne zgodnie z przepisami unijnymi i krajowymi, wymienia się z Komisją i innymi właściwymi organami tylko wtedy, gdy taka wymiana jest niezbędna do stosowania niniejszego rozporządzenia. Informacje podlegające wymianie ograniczają się do tego, co jest niezbędne na potrzeby takiej wymiany i proporcjonalne do jej celów. W ramach wymiany informacji zachowuje się poufność tych informacji oraz chroni się bezpieczeństwo i interesy handlowe podmiotów o krytycznym wpływie lub podmiotów o dużym wpływie.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .