Source: OJ L, 2025/302, 20.2.2025
Current language: DE
ITS on templates for incident reporting
DURCHFÜHRUNGSVERORDNUNG (EU) 2025/302 DER KOMMISSION
vom 23. Oktober 2024
zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011(1)ABl. L 333 vom 27.12.2022, S. 1. ELI: http://data.europa.eu/eli/reg/2022/2554/oj., insbesondere auf Artikel 20 Absatz 4,
in Erwägung nachstehender Gründe:
Erwägungsgrund 1 Single reporting template
Um sicherzustellen, dass Finanzunternehmen den für sie zuständigen Behörden schwerwiegende Sicherheitsvorfälle einheitlich melden und diesen Behörden Daten von guter Qualität zur Verfügung stellen, sollte festgelegt werden, welche Datenfelder Finanzunternehmen in den verschiedenen Meldephasen nach Artikel 19 Absatz 4 der Verordnung (EU) 2022/2554 bereitstellen müssen. Es ist wichtig, dass diese Informationen in einer Weise dargestellt werden, die einen zentralen Überblick über den Vorfall gibt. Daher muss für diese Zwecke eine einheitliche Meldevorlage festgelegt werden.
Erwägungsgrund 2 Filling in the reporting template
Finanzunternehmen sollten diejenigen Datenfelder der Meldevorlage ausfüllen, die den Informationsanforderungen der betreffenden Meldung entsprechen. Finanzunternehmen, die bereits über Informationen verfügen, die sie zu einem späteren Meldezeitpunkt, d. h. in der Zwischen- oder Abschlussmeldung, bereitstellen müssen, sollten die Möglichkeit haben, die Übermittlung der Daten vorzuziehen.
Erwägungsgrund 3 Recurring incidents
Da mehrere oder wiederholte Vorfälle einen schwerwiegenden Vorfall im Sinne von Artikel 8 der Delegierten Verordnung (EU) 2024/1772 der Kommission(2)Delegierte Verordnung (EU) 2024/1772 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle (ABl. L, 2024/1772 vom 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj). darstellen können, sollten die Meldevorlage und die Datenfelder so gestaltet sein, dass die Finanzunternehmen solche wiederholten Vorfälle melden können.
Erwägungsgrund 4 Updating previous information
Um sicherzustellen, dass korrekte und aktuelle Informationen zur Verfügung stehen, sollte die Meldevorlage es den Finanzunternehmen ermöglichen, bei der Übermittlung der Zwischen- und Abschlussmeldung alle zuvor bereits übermittelten Informationen zu aktualisieren und erforderlichenfalls schwerwiegende Vorfälle in nicht schwerwiegend zurückzustufen.
Erwägungsgrund 5 Legal identification of entities
Die rechtliche Identifizierung der Unternehmen sollte an die Kennungen angepasst werden, die in den gemäß Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554 erlassenen technischen Durchführungsstandards festgelegt sind.
Erwägungsgrund 6 Outsourcing of incident reporting obligations
Wenn Finanzunternehmen die Meldepflichten für schwerwiegende IKT-bezogene Vorfälle an einen Dritten auslagern, sollten die zuständigen Behörden die Identität des Dritten, der Meldungen im Namen des Finanzunternehmens übermittelt, bereits vor der Übermittlung der Erstmeldung kennen, um die Legitimität des meldenden Dritten überprüfen zu können.
Erwägungsgrund 7 Incidents concerning ICT third-party service providers
Um die Auswirkungen eines Vorfalls, der bei einem Drittdienstleister eingetreten ist oder von diesem verursacht wurde und mehrere Finanzunternehmen in demselben Mitgliedstaat betrifft, leicht einschätzen zu können und den Meldeaufwand für die Finanzunternehmen zu verringern, sollte die Meldevorlage die Übermittlung einer aggregierten Meldung mit aggregierten Informationen über die Auswirkungen des Vorfalls auf alle betroffenen Finanzunternehmen, die den Vorfall als schwerwiegend eingestuft haben, ermöglichen.
Erwägungsgrund 8 Technology neutral template
Die Meldevorlage sollte technologieneutral gestaltet sein, damit sie in verschiedene Lösungen für die Meldung von Sicherheitsvorfällen implementiert werden kann, die zwecks Umsetzung der Anforderungen der Verordnung (EU) 2022/2554 bereits bestehen oder noch entwickelt werden.
Erwägungsgrund 9 Facilitate outsourced incident reporting
Die Gestaltung der Meldevorlage und der Datenfelder sollte die Meldung schwerwiegender IKT-bezogener Vorfälle durch Dritte, an die Finanzunternehmen ihre Meldepflicht gemäß Artikel 19 Absatz 5 der Verordnung (EU) 2022/2554 ausgelagert haben, erleichtern.
Erwägungsgrund 10 Draft implementing technical standards from ESAs
Die vorliegende Verordnung beruht auf dem Entwurf technischer Durchführungsstandards, der der Kommission von den Europäischen Aufsichtsbehörden übermittelt wurde.
Erwägungsgrund 11 Open public consultations
Die Europäischen Aufsichtsbehörden haben zu diesem Entwurf öffentliche Konsultationen durchgeführt, die damit verbundenen potenziellen Kosten- und Nutzeneffekte analysiert und die Stellungnahme der nach Artikel 37 der Verordnungen (EU) Nr. 1093/2010(3)Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12. ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (EU) Nr. 1094/2010(4)Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/79/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 48. ELI: http://data.europa.eu/eli/reg/2010/1094/oj). und (EU) Nr. 1095/2010(5)Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/77/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 84. ELI: http://data.europa.eu/eli/reg/2010/1095/oj). des Europäischen Parlaments und des Rates eingesetzten Interessengruppe Bankensektor eingeholt.
Erwägungsgrund 12 Processing of personal data
Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates(6)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39. ELI: http://data.europa.eu/eli/reg/2018/1725/oj). konsultiert und gab am 22. Juli 2024 eine befürwortende Stellungnahme ab. Jede Verarbeitung personenbezogener Daten im Anwendungsbereich dieser Verordnung sollte im Einklang mit den geltenden Datenschutzgrundsätzen und -bestimmungen der Verordnung (EU) 2018/1725 erfolgen.
HAT FOLGENDE VERORDNUNG ERLASSEN:
- Artikel 1Vorlage für die Meldung schwerwiegender IKT-bezogener Vorfälle
- Artikel 2Gleichzeitige Übermittlung der Erst-, Zwischen- und Abschlussmeldung
- Artikel 3Wiederholte IKT-bezogene Vorfälle
- Artikel 4Nutzung sicherer elektronischer Kanäle
- Artikel 5Rückstufung schwerwiegender IKT-bezogener Vorfälle
- Artikel 6Unterrichtung über die Auslagerung der Berichtspflichten
- Artikel 7Aggregierte Meldung
- Artikel 8Meldung erheblicher Cyberbedrohungen
- Artikel 9Inkrafttreten
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 23. Oktober 2024
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN