Search for a command to run...
(Kommissionens delegerede forordning (EU) 2024/1772 af 13. marts 2024 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 for så vidt angår reguleringsmæssige tekniske standarder, der præciserer kriterierne for klassificering af IKT-relaterede hændelser og cybertrusler, fastsætter væsentlighedstærskler og præciserer de nærmere oplysninger om indberetninger af større hændelser)
1. Antallet af kunder, der er berørt af hændelsen som omhandlet i artikel 18, stk. 1, litra a), i forordning (EU) 2022/2554, skal afspejle antallet af alle berørte kunder, uanset om de er fysiske eller juridiske personer, der ikke er eller ikke var i stand til at gøre brug af den tjeneste, som den finansielle enhed leverede under hændelsen, eller som blev negativt påvirket af hændelsen. Dette antal skal også omfatte tredjeparter, der på udtrykkelig vis er omfattet af den kontraktlige ordning mellem den finansielle enhed og kunden som modtagere af den berørte tjeneste.
2. Antallet af finansielle modparter, der er berørt af hændelsen, jf. artikel 18, stk. 1, litra a), i forordning (EU) 2022/2554, skal afspejle antallet af alle berørte finansielle modparter, der har indgået en kontraktlig ordning med den finansielle enhed.
3. I forbindelse med relevansen af de kunder og finansielle modparter, der er berørt af hændelsen som omhandlet i artikel 18, stk. 1, litra a), i forordning (EU) 2022/2554, tager den finansielle enhed hensyn til, i hvilket omfang indvirkningen på en kunde eller en finansiel modpart vil påvirke gennemførelsen af den finansielle enheds forretningsmål, samt hændelsens potentielle indvirkning på markedets effektivitet.
4. I forhold til beløbet på eller antallet af transaktioner, der er berørt af hændelsen som omhandlet i artikel 18, stk. 1, litra a), i forordning (EU) 2022/2554, tager den finansielle enhed hensyn til alle berørte transaktioner, der involverer et pengebeløb, hvor mindst én del af transaktionen gennemføres i Unionen.
5. Hvis det faktiske antal berørte kunder eller finansielle modparter eller det faktiske antal eller beløb på de berørte transaktioner ikke kan fastslås, skal den finansielle enhed estimere disse antal eller beløb på grundlag af tilgængelige data fra sammenlignelige referenceperioder.
1. Med henblik på at fastslå hændelsens indvirkning på omdømmet som omhandlet i artikel 18, stk. 1, litra a), i forordning (EU) 2022/2554 tager de finansielle enheder hensyn til, at der er sket en indvirkning på omdømmet, hvis mindst et af følgende kriterier er opfyldt:
a)
hændelsen er blevet afspejlet i medierne
b)
hændelsen har resulteret i gentagne klager fra forskellige kunder eller finansielle modparter vedrørende tjenester med direkte kundekontakt eller kritiske forretningsforbindelser
c)
den finansielle enhed vil ikke være i stand til eller vil sandsynligvis ikke være i stand til at opfylde forskriftsmæssige krav som følge af hændelsen
d)
den finansielle enhed vil eller vil sandsynligvis miste kunder eller finansielle modparter, hvilket vil få en væsentlig indvirkning på dens forretningsaktiviteter som følge af hændelsen.
2. Ved vurderingen af hændelsens indvirkning på omdømmet tager de finansielle enheder hensyn til den grad af synlighed, som hændelsen har opnået eller sandsynligvis vil opnå i forhold til hvert af de kriterier, der er anført i stk. 1.
1. Finansielle enheder måler varigheden af en hændelse som omhandlet i artikel 18, stk. 1, litra b), i forordning (EU) 2022/2554 fra det tidspunkt, hvor hændelsen indtræffer, til det tidspunkt, hvor den afhjælpes.
Hvis finansielle enheder ikke er i stand til at fastslå det tidspunkt, hvor hændelsen indtraf, skal de måle hændelsens varighed fra det tidspunkt, hvor den blev detekteret. Hvis finansielle enheder bliver opmærksomme på, at hændelsen indtraf, inden den blev opdaget, måler de varigheden fra det tidspunkt, hvor hændelsen registreres i netværk eller systemlogfiler eller andre datakilder.
Hvis finansielle enheder endnu ikke ved, hvornår hændelsen vil blive afhjulpet, eller ikke er i stand til at verificere registreringer i logfiler eller andre datakilder, anvender de estimater.
2. Finansielle enheder måler tjenestens nedetid i forbindelse med en hændelse som omhandlet i artikel 18, stk. 1, litra b), i forordning (EU) 2022/2554 fra det tidspunkt, hvor tjenesten helt eller delvist ikke er tilgængelig for kunder, finansielle modparter eller andre interne eller eksterne brugere, til det tidspunkt, hvor normale aktiviteter eller operationer er blevet genoprettet til det serviceniveau, der blev leveret før hændelsen. Hvis tjenestens nedetid forårsager en forsinkelse i leveringen af tjenesten, efter at de normale aktiviteter eller operationer er blevet genoprettet, måles nedetiden fra hændelsens start til det tidspunkt, hvor den forsinkede tjeneste leveres fuldt ud.
Hvis finansielle enheder ikke er i stand til at fastslå det tidspunkt, hvor tjenestens nedetid startede, skal de måle tjenestens nedetid fra det tidspunkt, hvor den blev detekteret.
Med henblik på at bestemme den geografiske udbredelse inden for de områder, der er berørt af hændelsen som omhandlet i artikel 18, stk. 1, litra c), i forordning (EU) 2022/2554, vurderer finansielle enheder, om hændelsen har eller har haft en indvirkning i andre medlemsstater, og navnlig betydningen af indvirkningen på følgende:
a)
kunder og finansielle modparter i andre medlemsstater
b)
filialer eller andre finansielle enheder i koncernen, der udøver aktiviteter i andre medlemsstater
c)
finansielle markedsinfrastrukturer eller tredjepartsudbydere, som kan påvirke finansielle enheder i andre medlemsstater, som de leverer tjenesteydelser til, i det omfang sådanne oplysninger er tilgængelige.
Med henblik på at bestemme de datatab, som hændelsen medfører som omhandlet i artikel 18, stk. 1, litra d), i forordning (EU) 2022/2554, tager de finansielle enheder hensyn til følgende:
a)
for så vidt angår tilgængeligheden af data, om hændelsen har gjort dataene om efterspørgsel fra den finansielle enhed, dens kunder eller dens modparter midlertidigt eller permanent utilgængelige eller ubrugelige
b)
med hensyn til autenticiteten af data, om hændelsen har bragt datakildens pålidelighed i fare
c)
for så vidt angår integriteten af data, om hændelsen har ført til en ikkegodkendt ændring af data, der har gjort dem unøjagtige eller ufuldstændige
d)
med hensyn til fortroligheden af data, om hændelsen har resulteret i, at data er blevet tilgået af eller videregivet til en uautoriseret part eller et uautoriseret system.
Med henblik på at bestemme de berørte tjenesters kritiske betydning som omhandlet i artikel 18, stk. 1, litra e), i forordning (EU) 2022/2554, vurderer finansielle enheder, hvorvidt hændelsen:
a)
påvirker eller har påvirket IKT-tjenester eller net- og informationssystemer, der understøtter kritiske eller vigtige funktioner i den finansielle enhed
b)
påvirker eller har påvirket finansielle tjenesteydelser, der leveres af den finansielle enhed, og som kræver godkendelse eller registrering, eller som er underlagt kompetente myndigheders tilsyn
c)
udgør eller har udgjort en vellykket, ondsindet og uautoriseret adgang til den finansielle enheds net- og informationssystemer.
1. Med henblik på at fastsætte de økonomiske virkninger af hændelsen som omhandlet i artikel 18, stk. 1, litra f), i forordning (EU) 2022/2554 tager de finansielle enheder, uden at indregne finansielle inddrivelser, hensyn til følgende typer af direkte og indirekte omkostninger og tab, som de har afholdt og lidt som følge af hændelsen:
a)
eksproprierede midler eller finansielle aktiver, som de hæfter for, herunder aktiver, der er gået tabt som følge af tyveri
b)
omkostninger ved udskiftning eller flytning af software, hardware eller infrastruktur
c)
personaleomkostninger, herunder omkostninger ved udskiftning eller flytning af personale, ansættelse af ekstra personale, aflønning af overarbejde og genopretning af mistede eller forringede kvalifikationer
d)
gebyrer som følge af manglende overholdelse af kontraktlige forpligtelser
e)
omkostninger ved klageadgang og kompensation til kunder
f)
tab som følge af mistede indtægter
g)
omkostninger forbundet med effektiviteten af den interne og eksterne kommunikation
h)
rådgivningsomkostninger, herunder omkostninger i forbindelse med juridisk rådgivning, kriminaltekniske tjenester og oprydningstjenester.
2. Omkostninger og tab som omhandlet i stk. 1 omfatter ikke omkostninger, der er nødvendige for den daglige drift af virksomheden, navnlig følgende:
1. En hændelse betragtes som en større hændelse med henblik på artikel 19, stk. 1, i forordning (EU) 2022/2554, hvis den har påvirket kritiske tjenester som omhandlet i artikel 6, og hvis en af følgende betingelser er opfyldt:
a)
væsentlighedstærsklen i artikel 9, stk. 5, litra b), er nået
b)
to eller flere af de andre væsentlighedstærskler, der er omhandlet i artikel 9, stk. 1-6, er nået.
2. Tilbagevendende hændelser, der hver for sig ikke betragtes som en større hændelse i overensstemmelse med stk. 1, betragtes som én større hændelse, hvis de opfylder alle følgende betingelser:
a)
de har fundet sted mindst to gange inden for seks måneder
b)
de har den samme åbenlyse grundlæggende årsag som omhandlet i artikel 20, litra b), første afsnit i forordning (EU) 2022/2554
c)
de opfylder samlet set kriterierne for at blive betragtet som en større hændelse, jf. stk. 1.
Finansielle enheder vurderer forekomsten af tilbagevendende hændelser en gang om måneden.
Dette stykke finder ikke anvendelse på mikrovirksomheder og finansielle enheder, der er opført i artikel 16, stk. 1, i forordning (EU) 2022/2554.
1. Væsentlighedstærsklen for kriteriet »kunder, finansielle modparter og transaktioner« er nået, hvis en af følgende betingelser er opfyldt:
a)
antallet af berørte kunder er højere end 10 % af alle kunder, der benytter den berørte tjeneste
b)
antallet af berørte kunder, der anvender den berørte tjeneste, er højere end 100 000
c)
antallet af berørte finansielle modparter er højere end 30 % af alle finansielle modparter, der udøver aktiviteter i forbindelse med leveringen af den berørte tjeneste
d)
antallet af berørte transaktioner er højere end 10 % af det daglige gennemsnitlige antal transaktioner, der gennemføres af den finansielle enhed i forbindelse med den berørte tjeneste
e)
beløbet på berørte transaktioner er højere end 10 % af den daglige gennemsnitlige værdi af transaktioner, der gennemføres af den finansielle enhed i forbindelse med den berørte tjeneste
f)
kunder eller finansielle modparter, der er blevet identificeret som relevante i overensstemmelse med artikel 1, stk. 3, er blevet berørt.
Hvis det faktiske antal berørte kunder eller finansielle modparter eller det faktiske antal eller beløb på de berørte transaktioner ikke kan fastslås, skal den finansielle enhed estimere disse antal eller beløb på grundlag af tilgængelige data fra sammenlignelige referenceperioder.
2. Væsentlighedstærsklen for kriteriet »indvirkning på omdømmet« er nået, hvis en af betingelserne i artikel 2, litra a)-d), er opfyldt.
3. Væsentlighedstærsklen for kriteriet »varighed og tjenestens nedetid« er nået, hvis en af følgende betingelser er opfyldt:
Med henblik på artikel 18, stk. 2, i forordning (EU) 2022/2554 anses en cybertrussel for at være væsentlig, hvis alle følgende betingelser er opfyldt:
a)
cybertruslen kan, hvis den finder sted, påvirke eller have påvirket den finansielle enheds kritiske eller vigtige funktioner eller kan påvirke andre finansielle enheder, tredjepartsudbydere, kunder eller finansielle modparter på grundlag af oplysninger, der er tilgængelige for den finansielle enhed
b)
der er stor sandsynlighed for, at cybertruslen finder sted i den finansielle enhed eller i andre finansielle enheder, idet der som minimum tages hensyn til følgende elementer: i) relevante risici forbundet med den cybertrussel, der er omhandlet i litra a), herunder potentielle sårbarheder i den finansielle enheds systemer, der kan udnyttes ii) trusselsaktørernes kapaciteter og hensigt, i det omfang den finansielle enhed har kendskab hertil iii) truslens vedholdenhed og eventuel indhentet viden om hændelser, der har påvirket den finansielle enhed eller dens tredjepartsudbyder, kunder eller finansielle modparter
c)
cybertruslen kan, hvis den finder sted, opfylde eller nå et eller en af følgende: i) kriteriet vedrørende tjenesters kritiske betydning som fastsat i artikel 18, stk. 1, litra e), i forordning (EU) 2022/2554, jf. nærværende forordnings artikel 6 ii) væsentlighedstærsklen som fastsat i artikel 9, stk. 1 iii) væsentlighedstærsklen som fastsat i artikel 9, stk. 4.
Hvis den finansielle enhed afhængigt af typen af cybertrussel og tilgængelige oplysninger konkluderer, at væsentlighedstærsklerne i artikel 9, stk. 2, 3, 5 og 6, kan nås, kan disse tærskler også tages i betragtning.
Vurderingen af, om den større hændelse er relevant for kompetente myndigheder i andre medlemsstater som omhandlet i artikel 19, stk. 7, i forordning (EU) 2022/2554, baseres på, om hændelsen har en grundlæggende årsag, der hidrører fra en anden medlemsstat, eller om hændelsen har eller har haft en betydelig indvirkning i en anden medlemsstat i forbindelse med et af følgende:
a)
kunder eller finansielle modparter
b)
en filial i den finansielle enhed eller en anden finansiel enhed i koncernen
c)
en finansiel markedsinfrastruktur eller en tredjepartsudbyder, der kan påvirke finansielle enheder, som de leverer tjenester til.
De nærmere oplysninger om større hændelser, som de kompetente myndigheder skal indberette til andre kompetente myndigheder i overensstemmelse med artikel 19, stk. 6, i forordning (EU) 2022/2554, og de underretninger, som EBA, ESMA eller EIOPA og ECB skal indgive til de relevante kompetente myndigheder i andre medlemsstater i overensstemmelse med nævnte forordnings artikel 19, stk. 7, skal uden nogen form for anonymisering indeholde samme niveau af oplysninger som de underretninger og indberetninger af større hændelser, der modtages fra finansielle enheder i overensstemmelse med artikel 19, stk. 4, i forordning (EU) 2022/2554.
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 13. marts 2024.
EUT L 333 af 27.12.2022, s. 1, ELI: data.europa.eu/eli/reg/2022/2554/oj.
Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, og om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (EUT L 337 af 23.12.2015, s. 35, ELI: data.europa.eu/eli/dir/2015/2366/oj).
Kommissionens delegerede forordning (EU) 2018/959 af 14. marts 2018 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 for så vidt angår reguleringsmæssige tekniske standarder vedrørende præciseringen af den vurderingsmetode, som de kompetente myndigheder skal anvende, når institutter gives tilladelse til at anvende avancerede målemetoder for operationel risiko (EUT L 169 af 6.7.2018, s. 1, ELI: data.europa.eu/eli/reg%5Fdel/2018/959/oj).
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1, ELI: data.europa.eu/eli/reg/2016/679/oj).
a)
omkostninger ved generel vedligeholdelse af infrastruktur, udstyr, hardware og software samt udgifter til ajourføring af personalets kvalifikationer
b)
interne eller eksterne omkostninger i forbindelse med at styrke virksomheden efter hændelsen, herunder opgraderinger, forbedringer og risikovurderingsinitiativer
c)
forsikringspræmier.
3. Finansielle enheder beregner de beløb, som udgøres af omkostninger og tab, på grundlag af data, der er tilgængelige på indberetningstidspunktet. Hvis de faktiske omkostninger og tab ikke kan opgøres, estimerer finansielle enheder disse beløb.
4. Ved vurderingen af hændelsens økonomiske virkninger sammenlægger de finansielle enheder de omkostninger og tab, der er omhandlet i stk. 1.
a)
hændelsen varer længere end 24 timer
b)
tjenestens nedetid er længere end 2 timer for IKT-tjenester, der understøtter kritiske eller vigtige funktioner.
4. Væsentlighedstærsklen for kriteriet »geografisk udbredelse« er nået, hvis hændelsen har en indvirkning i to eller flere medlemsstater i overensstemmelse med artikel 4.
5. Væsentlighedstærsklen for kriteriet »datatab« er nået, hvis en af følgende betingelser er opfyldt:
a)
enhver indvirkning som omhandlet i artikel 5 på tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data har eller vil få en negativ indvirkning på gennemførelsen af den finansielle enheds forretningsmål eller på dens evne til at opfylde forskriftsmæssige krav
b)
enhver vellykket, ondsindet og uautoriseret adgang, der ikke er omfattet af litra a), til net- og informationssystemer, i tilfælde hvor en sådan adgang kan medføre tab af data.
6. Væsentlighedstærsklen for kriteriet »økonomisk virkning« er nået, hvis den finansielle enheds omkostninger og tab som følge af hændelsen har overskredet eller sandsynligvis vil overstige 100 000 EUR.
Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37, ELI: data.europa.eu/eli/dir/2002/58/oj).
Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/78/EF (EUT L 331 af 15.12.2010, s. 12, ELI: data.europa.eu/eli/reg/2010/1093/oj).
Europa-Parlamentets og Rådets forordning (EU) nr. 1094/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger), om ændring af afgørelse 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/79/EF (EUT L 331 af 15.12.2010, s. 48, ELI: data.europa.eu/eli/reg/2010/1094/oj).
Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/77/EF (EUT L 331 af 15.12.2010, s. 84, ELI: data.europa.eu/eli/reg/2010/1095/oj).
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: data.europa.eu/eli/reg/2018/1725/oj).
ISSN 1977-0634 (electronic edition)
