Artikel 46 VO (EU) 2024/1366

(1) Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen stellen sicher, dass die im Rahmen dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen nur nach dem Grundsatz „Kenntnis nur, wenn nötig” und im Einklang mit den einschlägigen Vorschriften der Union und der Mitgliedstaaten über die Informationssicherheit zugänglich sind.

(2) Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen stellen sicher, dass die im Rahmen dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen während des gesamten Lebenszyklus dieser Informationen entsprechend behandelt und nachverfolgt werden und dass sie am Ende ihres Lebenszyklus erst dann freigegeben werden, wenn sie anonymisiert wurden.

(3) Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen stellen sicher, dass alle erforderlichen Schutzmaßnahmen organisatorischer und technischer Art getroffen werden, um die Vertraulichkeit, Integrität, Verfügbarkeit und Nichtabstreitbarkeit der im Rahmen dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen, unabhängig von den dabei genutzten Mitteln, zu wahren und zu schützen. Die Schutzmaßnahmen müssen

a)

verhältnismäßig sein;

b)

Cybersicherheitsrisiken im Zusammenhang mit bekannten früheren und sich abzeichnenden Bedrohungen Rechnung tragen, denen die Informationen im Zusammenhang mit dieser Verordnung ausgesetzt sein könnten;

c)

soweit möglich auf nationalen, europäischen oder internationalen Normen und bewährten Verfahren beruhen;

d)

dokumentiert werden.

(4) Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen stellen sicher, dass jede Person, der Zugang zu den im Rahmen dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen gewährt wird, über die auf Ebene der Einrichtungen geltenden Sicherheitsvorschriften sowie über die für den Schutz von Informationen relevanten Maßnahmen und Verfahren unterrichtet wird. Die Einrichtungen stellen sicher, dass die betroffene Person die Zuständigkeit anerkennt, die Informationen nach den in der Unterrichtung erteilten Anweisungen zu schützen.

(5) Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen stellen sicher, dass der Zugang zu den im Rahmen dieser Verordnung bereitgestellten, empfangenen, ausgetauschten oder übermittelten Informationen auf Personen beschränkt wird,

a)

die aufgrund ihrer Funktionen, und beschränkt auf die Ausführung der ihnen übertragenen Aufgaben, zum Zugang zu diesen Informationen berechtigt sind;

b)

in Bezug auf die die Einrichtung ethische Grundsätze und Integritätsgrundsätze prüfen konnte und für die es keine Hinweise auf ein negatives Ergebnis einer Zuverlässigkeitsüberprüfung gibt, mit der die Zuverlässigkeit der Person im Einklang mit bewährten Verfahren und den Standardsicherheitsanforderungen der Einrichtung und erforderlichenfalls mit den nationalen Gesetzen und Vorschriften bewertet wurde.

(6) Die in Artikel 2 Absatz 1 aufgeführten Einrichtungen bedürfen der schriftlichen Zustimmung der natürlichen oder juristischen Person, die die Informationen ursprünglich erstellt oder bereitgestellt hat, bevor sie diese Informationen an Dritte weitergeben, die nicht in den Anwendungsbereich dieser Verordnung fallen.

(7) Eine in Artikel 2 Absatz 1 aufgeführte Einrichtung kann der Ansicht sein, dass diese Informationen ohne Einhaltung der Absätze 1 und 4 des vorliegenden Artikels weitergegeben werden müssen, um eine zeitgleich auftretende Stromversorgungskrise mit einer zugrunde liegenden Cybersicherheitsursache oder eine grenzüberschreitende Krise innerhalb der Union in einem anderen Sektor zu verhindern. In diesem Fall

a)

konsultiert sie die zuständige Behörde und kann von ihr zur Weitergabe dieser Informationen ermächtigt werden;

b)

anonymisiert sie diese Informationen, ohne dass die Elemente verloren gehen, die erforderlich sind, um die Öffentlichkeit über ein unmittelbares und ernstes Risiko für grenzüberschreitende Stromflüsse und mögliche Abhilfemaßnahmen zu informieren;

c)

schützt sie die Identität des Urhebers und der Einrichtungen, die diese Informationen im Rahmen dieser Verordnung verarbeitet haben.

(8) Abweichend von Absatz 6 des vorliegenden Artikels können die zuständigen Behörden Informationen, die im Rahmen dieser Verordnung bereitgestellt, empfangen, ausgetauscht oder übermittelt werden, einem nicht in Artikel 2 Absatz 1 aufgeführten Dritten bereitstellen, ohne dass der Urheber der Informationen schriftlich zugestimmt hat, müssen diesen jedoch so bald wie möglich davon in Kenntnis setzen. Bevor die betreffende zuständige Behörde Informationen, die im Rahmen dieser Verordnung bereitgestellt, empfangen, ausgetauscht oder übermittelt wurden, einem nicht in Artikel 2 Absatz 1 aufgeführten Dritten offenlegt, muss sie in angemessenem Umfang sicherstellen, dass der betreffende Dritte Kenntnis von den geltenden Sicherheitsvorschriften hat, und hinreichende Gewähr dafür erhalten, dass der betreffende Dritte die empfangenen Informationen gemäß den Absätzen 1 bis 5 des vorliegenden Artikels schützen kann. Die zuständige Behörde anonymisiert diese Informationen, ohne dass die Elemente verloren gehen, die erforderlich sind, um die Öffentlichkeit über ein unmittelbares und ernstes Risiko für grenzüberschreitende Stromflüsse und mögliche Abhilfemaßnahmen zu informieren, und schützt die Identität des Urhebers der Informationen. In diesem Fall schützt der nicht in Artikel 2 Absatz 1 aufgeführte Dritte die empfangenen Informationen gemäß den auf Ebene der Einrichtung bereits geltenden Bestimmungen oder, wenn dies nicht möglich ist, nach den Bestimmungen und Anweisungen der jeweils zuständigen Behörde.

(9) Dieser Artikel gilt nicht für Einrichtungen, die nicht in Artikel 2 Absatz 1 aufgeführt sind, wenn sie Informationen gemäß Absatz 6 des vorliegenden Artikels erhalten. In diesem Fall ist Absatz 7 anzuwenden, oder die zuständige Behörde kann dieser Einrichtung schriftliche Bestimmungen bereitstellen, die in Fällen anzuwenden sind, in denen Informationen gemäß dieser Verordnung eingehen.