RTS on incident classification

Was das Klassifizierungskriterium „Wert und Anzahl der betroffenen Transaktionen“ betrifft, so ist der Begriff der Transaktion weit gefasst und beinhaltet verschiedene Tätigkeiten und Dienstleistungen aus den für Finanzunternehmen geltenden sektorspezifischen Rechtsakten. Für die Zwecke dieses Klassifizierungskriteriums sollten Zahlungsvorgänge und alle Formen des Austauschs von Finanzinstrumenten, Kryptowerten, Waren oder anderen Vermögenswerten, auch in Form von Einschüssen, Sicherheiten oder Pfandrechten, sowohl gegen Bargeld als auch gegen jeden anderen Vermögenswert, abgedeckt werden. Alle Transaktionen mit Vermögenswerten, deren Wert als Geldbetrag ausgedrückt werden kann, sollten für die Zwecke der Klassifizierung berücksichtigt werden.

Die Klassifizierungskriterien sollten sicherstellen, dass alle relevanten Arten von schwerwiegenden Vorfällen erfasst werden. Cyberangriffe, die mit dem Eindringen in Netzwerk- oder Informationssysteme zusammenhängen, werden von vielen Klassifizierungskriterien möglicherweise nicht unbedingt erfasst. Jedoch sind sie bedeutsam, da jedes Eindringen in Netzwerk- und Informationssysteme dem Finanzunternehmen schaden kann. Dementsprechend sollten die Klassifizierungskriterien „betroffene kritische Dienstleistungen“ und „Verluste von Daten“ so festgelegt werden, dass diese Arten von schwerwiegenden Vorfällen erfasst werden, insbesondere auch unbefugtes Eindringen, das, auch wenn die Auswirkungen nicht unmittelbar bekannt sind, gravierende Folgen haben kann, vor allem Datenschutzverletzungen und Datenlecks.

Da die Kreditinstitute sowohl dem Rahmen für die Klassifizierung von Vorfällen nach Artikel 18 der Verordnung (EU) 2022/2554 als auch dem Rahmen für operationelle Risiken gemäß der Delegierten Verordnung (EU) 2018/959 der Kommission(³)Delegierte Verordnung (EU) 2018/959 der Kommission vom 14. März 2018 zur Ergänzung der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Beurteilungsmethode, nach der die zuständigen Behörden Instituten die Verwendung fortgeschrittener Messansätze für operationelle Risiken gestatten (ABl. L 169 vom 6.7.2018, S. 1. ELI: http://data.europa.eu/eli/reg_del/2018/959/oj). unterliegen, sollte der Ansatz für die Bewertung der wirtschaftlichen Auswirkungen eines Vorfalls auf Basis der Kosten- und Verlustkalkulation so weit wie möglich bei beiden Rahmen konsistent sein, damit keine unvereinbaren oder widersprüchlicher Anforderungen eingeführt werden.

Das in Artikel 18 Absatz 1 Buchstabe c der Verordnung (EU) 2022/2554 festgelegte Kriterium der geografischen Ausbreitung eines Vorfalls sollte die grenzüberschreitenden Auswirkungen des Vorfalls in den Fokus nehmen, da die Auswirkungen eines Vorfalls auf die Tätigkeiten eines Finanzunternehmens innerhalb eines einzelnen Rechtsraums durch die anderen im genannten Artikel festgelegten Kriterien erfasst werden.

Da die Klassifizierungskriterien voneinander abhängen und miteinander verknüpft sind, sollte der Ansatz für die Ermittlung schwerwiegender Vorfälle, die nach Artikel 19 Absatz 1 der Verordnung (EU) 2022/2554 gemeldet werden müssen, auf einer Kriterienkombination beruhen, wobei bestimmte Kriterien, die eng mit den in Artikel 3 Absätze 8 und 10 der Verordnung (EU) 2022/2554 enthaltenen Begriffsbestimmungen eines IKT-bezogenen Vorfalls bzw. schwerwiegender IKT-bezogener Vorfälle zusammenhängen, bei der Klassifizierung stärker im Vordergrund stehen sollten als andere Kriterien.

Um sicherzustellen, dass die Meldungen über schwerwiegende Vorfälle, die die zuständigen Behörden nach Artikel 19 Absatz 1 der Verordnung (EU) 2022/2554 erhalten, sowohl Aufsichtszwecken als auch der Verhinderung einer finanzsektorweiten Ansteckung dienen, sollten es die Wesentlichkeitsschwellen ermöglichen, schwerwiegende Vorfälle zu erfassen, indem sie unter anderem die Auswirkungen auf unternehmensspezifische kritische Dienstleistungen, die spezifischen absoluten und relativen Schwellenwerte für Kunden oder finanzielle Gegenparteien, auf wesentliche Auswirkungen auf das Finanzunternehmen hinweisende Transaktionen und die Signifikanz der Auswirkungen in anderen Mitgliedstaaten in den Fokus nehmen.

Vorfälle, die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; oder Netzwerk- und Informationssysteme zur Unterstützung kritischer oder wichtiger Funktionen oder zulassungspflichtige Finanzdienstleistungen betreffen, oder ein böswilliger unbefugter Zugriff auf Netzwerk- und Informationssysteme zur Unterstützung kritischer oder wichtiger Funktionen sollten als Vorfälle angesehen werden, die kritische Dienstleistungen der Finanzunternehmen betreffen. Ein böswilliger, unbefugter Zugriff auf Netzwerk- und Informationssysteme zur Unterstützung kritischer oder wichtiger Funktionen von Finanzunternehmen birgt ernsthafte Risiken für das Finanzunternehmen und sollte, da auch andere Finanzunternehmen davon betroffen sein könnten, stets als schwerwiegender Vorfall betrachtet werden, der gemeldet werden muss.

Wiederholte Vorfälle mit offensichtlich ähnlicher Ursache, die einzeln betrachtet keine schwerwiegenden Vorfälle sind, können auf erhebliche Mängel und Schwächen in den Verfahren des Finanzunternehmens für das Management von Vorfällen und Risiken hinweisen. Deswegen sollten wiederholte Vorfälle insgesamt als schwerwiegend betrachtet werden, wenn sie über einen gewissen Zeitraum mehrfach auftreten.

Da Cyberbedrohungen negative Auswirkungen auf das Finanzunternehmen und den Finanzsektor haben können, sollte bei etwaigen von den Finanzunternehmen gemeldeten erheblichen Cyberbedrohungen auf die Eintrittswahrscheinlichkeit und die Kritikalität der potenziellen Auswirkungen hingewiesen werden. Um eine eindeutige und konsistente Bewertung der Signifikanz von Cyberbedrohungen sicherzustellen, sollte die Klassifizierung einer Cyberbedrohungeine Cyberbedrohung im Sinne von Artikel 2 Nummer 8 der Verordnung (EU) 2019/881; als erheblich von der Wahrscheinlichkeit, dass die Klassifizierungskriterien für schwerwiegende Vorfälle und die zugehörigen Schwellenwerte bei Eintritt der Bedrohung erfüllt würden, sowie von der Art der Cyberbedrohungeine Cyberbedrohung im Sinne von Artikel 2 Nummer 8 der Verordnung (EU) 2019/881; und den verfügbaren Informationen des Finanzunternehmens abhängen.

Da die zuständigen Behörden in anderen Mitgliedstaaten über Vorfälle, die sich auf Finanzunternehmen und Kunden in ihrem Hoheitsgebiet auswirken, benachrichtigt werden müssen, sollte die in Artikel 19 Absatz 7 der Verordnung (EU) 2022/2554 vorgesehene Bewertung der Auswirkungen in einem anderen Hoheitsgebiet auf den Ursachen des Vorfalls, dem Ansteckungspotenzial über Drittdienstleister und Finanzmarktinfrastrukturen sowie den Auswirkungen des Vorfalls auf bedeutende Gruppen von Kunden oder finanziellen Gegenparteien beruhen.

Die in Artikel 19 Absätze 6 und 7 der Verordnung (EU) 2022/2554 genannten Melde- und Benachrichtigungsverfahren sollten es den jeweiligen Empfängern ermöglichen, die Auswirkungen der Vorfälle zu bewerten. Deswegen sollten die übermittelten Informationen alle Einzelheiten beinhalten, die in den Vorfallmeldungen des Finanzunternehmens an die zuständige Behörde enthalten sind.

Stellt ein Vorfall eine Verletzung des Schutzes personenbezogener Daten im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates(⁴)Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj). und der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates(⁵)Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj). dar, so sollte die vorliegende Verordnung die in den genannten Rechtsvorschriften der Union festgelegten Aufzeichnungs- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten unberührt lassen. Die zuständigen Behörden sollten mit den in der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG genannten Behörden zusammenarbeiten und Informationen über alle relevanten Angelegenheiten austauschen.

Diese Verordnung beruht auf dem Entwurf technischer Regulierungsstandards, den die Europäischen Aufsichtsbehörden der Kommission in Abstimmung mit der Agentur der Europäischen Union für Cybersicherheit (ENISA) und der Europäischen Zentralbank (EZB) vorgelegt haben.

Der in Artikel 54 der Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates(⁶)Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12. ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., in Artikel 54 der Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates(⁷)Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/79/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 48. ELI: http://data.europa.eu/eli/reg/2010/1094/oj). und in Artikel 54 der Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates(⁸)Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/77/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 84. ELI: http://data.europa.eu/eli/reg/2010/1095/oj). genannte Gemeinsame Ausschuss der Europäischen Aufsichtsbehörden hat zu diesem Entwurf technischer Regulierungsstandards, auf dem die vorliegende Verordnung beruht, öffentliche Konsultationen durchgeführt, die damit verbundenen Kosten- und Nutzeneffekte analysiert und die Stellungnahme der nach Artikel 37 der Verordnung (EU) Nr. 1093/2010 eingesetzten Interessengruppe Bankensektor, der nach Artikel 37 der Verordnung (EU) Nr. 1094/2010 eingesetzten Interessengruppe Versicherung und Rückversicherung und der nach Artikel 37 der Verordnung (EU) Nr. 1095/2010 eingesetzten Interessengruppe Wertpapiere und Wertpapiermärkte eingeholt.

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates(⁹)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). angehört und hat am 24. Januar 2024 eine Stellungnahme abgegeben —