Art. 46
Principi per la protezione delle informazioni scambiate
In vigore dal 11 mar 2024
Principi per la protezione delle informazioni scambiate
1. I soggetti elencati all’, paragrafo 1, garantiscono che le informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento sono accessibili solo in base al principio della necessità di conoscere e conformemente alle pertinenti disposizioni nazionali e dell’Unione in materia di sicurezza delle informazioni.
2. I soggetti elencati all’, paragrafo 1, garantiscono che le informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento sono trattate e tracciate durante il loro intero ciclo di vita e possano essere divulgate alla fine del loro ciclo di vita solo dopo essere state anonimizzate.
3. I soggetti elencati all’, paragrafo 1, provvedono affinché siano predisposte tutte le necessarie misure di protezione di natura organizzativa e tecnica per salvaguardare e tutelare la riservatezza, l’integrità, la disponibilità e la non disconoscibilità delle informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento, indipendentemente dai mezzi utilizzati. Le misure di protezione:
a)
sono proporzionate;
b)
tengono conto dei rischi per la cibersicurezza connessi a minacce note passate ed emergenti alle quali le informazioni possono essere soggette nel contesto del presente regolamento;
c)
si basano, per quanto possibile, su norme e migliori pratiche nazionali, europee o internazionali;
d)
sono documentate.
4. I soggetti elencati all’, paragrafo 1, garantiscono che chiunque abbia avuto accesso alle informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento sia portato a conoscenza delle disposizioni di sicurezza applicabili a livello di soggetto e sulle misure e procedure pertinenti per la protezione delle informazioni. I medesimi soggetti provvedono affinché la persona interessata riconosca la responsabilità di proteggere le informazioni secondo le istruzioni impartite.
5. I soggetti elencati all’, paragrafo 1, garantiscono che l’accesso alle informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento sia limitato alle persone fisiche:
a)
autorizzate ad accedere alle informazioni sulla base delle loro funzioni e limitatamente all’esecuzione dei compiti loro assegnati;
b)
per le quali il soggetto sia stato in grado di valutare i principi etici e di integrità e non vi siano prove di esito negativo di una verifica dei precedenti personali volto a valutare l’affidabilità della persona conformemente alle migliori pratiche e ai requisiti di sicurezza standard del soggetto e, se necessario, alle disposizioni legislative e regolamentari nazionali.
6. I soggetti elencati all’, paragrafo 1, ottengono il consenso scritto della persona fisica o giuridica che ha originariamente creato o fornito le informazioni prima di inviarle a terzi che non rientrano nell’ambito di applicazione del presente regolamento.
7. Il soggetto elencato all’, paragrafo 1, può ritenere di condividere le informazioni in deroga ai paragrafi 1 e 4 del presente articolo al fine di prevenire una crisi simultanea dell’energia elettrica derivante da problemi di cibersicurezza o qualsiasi crisi transfrontaliera nell’Unione in un altro settore. In tal caso, il soggetto:
a)
consulta l’autorità competente ed è autorizzato da quest’ultima a condividere le informazioni;
b)
anonimizza le informazioni senza privarle degli elementi necessari per informare il pubblico di un rischio imminente e grave per i flussi transfrontalieri di energia elettrica e delle possibili misure di attenuazione;
c)
salvaguarda l’identità dell’originatore e dei soggetti che hanno trattato le informazioni a norma del presente regolamento.
8. In deroga al paragrafo 6, le autorità competenti possono fornire le informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento a terzi non elencati all’, paragrafo 1, senza il previo consenso scritto dell’originatore delle informazioni ma informandolo il prima possibile. Prima di divulgare le informazioni fornite, ricevute, scambiate o trasmesse a norma del presente regolamento a terzi non elencati all’, paragrafo 1, l’autorità competente prende ragionevoli provvedimenti per garantire che il terzo interessato sia a conoscenza delle disposizioni di sicurezza in vigore e riceve ragionevoli garanzie della capacità di quest’ultimo di proteggere le informazioni ricevute in conformità dei paragrafi da 1 a 5. L’autorità competente anonimizza le informazioni senza privarle degli elementi necessari per informare il pubblico di un rischio imminente e grave per i flussi transfrontalieri di energia elettrica e di possibili misure di attenuazione e salvaguarda l’identità dell’originatore delle informazioni. In tal caso, il terzo non elencato all’, paragrafo 1, protegge le informazioni ricevute conformemente alle disposizioni già in vigore a livello di soggetto o, qualora ciò non sia possibile, alle disposizioni e alle istruzioni fornite dall’autorità competente.
9. Il presente articolo non si applica ai soggetti non elencati all’, paragrafo 1, ai quali sono trasmesse informazioni a norma del paragrafo 6 del presente articolo. In tal caso si applica il paragrafo 7 del presente articolo o l’autorità competente può fornire al soggetto disposizioni scritte da applicare nei casi in cui siano ricevute informazioni a norma del presente regolamento.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1366:oj#art-46