Source: OJ L, 2025/301, 20.2.2025
Current language: DE
RTS on incident reporting
DELEGIERTE VERORDNUNG (EU) 2025/301 DER KOMMISSION
vom 23. Oktober 2024
zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung des Inhalts und der Fristen für die Erstmeldung, die Zwischenmeldung und die Abschlussmeldung schwerwiegender IKT-bezogener Vorfälle sowie des Inhalts der freiwilligen Meldung erheblicher Cyberbedrohungen
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienzdie Fähigkeit eines Finanzunternehmens, seine operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen, indem es entweder direkt oder indirekt durch Nutzung der von IKT-Drittdienstleistern bereitgestellten Dienste das gesamte Spektrum an IKT-bezogenen Fähigkeiten sicherstellt, die erforderlich sind, um die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten, die von einem Finanzunternehmen genutzt werden und die kontinuierliche Erbringung von Finanzdienstleistungen und deren Qualität, einschließlich bei Störungen, unterstützen; im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011(1)ABl. L 333 vom 27.12.2022, S. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj., insbesondere auf Artikel 20 Absatz 3,
in Erwägung nachstehender Gründe:
Erwägungsgrund 1 Reporting time limits
Um eine Harmonisierung und Vereinfachung der in Artikel 19 Absatz 4 der Verordnung (EU) 2022/2554 genannten Meldungen und Meldepflichten bei schwerwiegenden IKT-bezogenen Vorfällen sicherzustellen, sollten die Fristen für die Meldung schwerwiegender IKT-bezogener Vorfälle für alle Arten von Finanzunternehmen einem einheitlichen Ansatz folgen. Aus demselben Grund sollten die Fristen so weit wie möglich auch mit dem mit den Anforderungen der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates(2)Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L 333 vom 27.12.2022, S. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj). verfolgten Ansatz in Einklang stehen oder zumindest eine gleichwertige Wirkung haben.
Erwägungsgrund 2 Time limit for the initial notification
Um die Finanzunternehmen zu dem Zeitpunkt, zu dem sie mit dem IKT-bezogenen Vorfall beschäftigt sind, nicht zusätzlich mit unangemessenem Meldeaufwand zu belasten, sollte sich der Inhalt der Erstmeldung auf die wichtigsten Informationen beschränken. Um angemessene Aufsichtsmaßnahmen ergreifen zu können, benötigen die zuständigen Behörden schnellstmöglich Informationen zu schwerwiegenden IKT-bezogenen Vorfällen, sobald das Finanzunternehmen einen solchen Vorfall als schwerwiegend eingestuft hat. Folglich sollte die Frist für die Übermittlung einer in Artikel 19 Absatz 4 Buchstabe a der Verordnung (EU) 2022/2554 genannten Erstmeldung nach Einstufung eines IKT-bezogenen Vorfalls als schwerwiegend so kurz wie möglich sein, wobei jedoch Finanzunternehmen, die für einen IKT-bezogenen Vorfall mehr Zeit benötigen, nachdem sie von diesem Kenntnis erlangt haben, Spielraum gewährt werden sollte, insbesondere bei nicht betont zeitkritischen Geschäftsmodellen im Dienstleistungssektor.
Erwägungsgrund 3 The intermediate and final reports
Nach Eingang der Erstmeldung sollten die zuständigen Behörden in der Zwischenmeldung ausführlichere Informationen über den IKT-bezogenen Vorfall und in der Abschlussmeldung dann alle relevanten Informationen erhalten. Die in diesen Meldungen enthaltenen Informationen sollten es den zuständigen Behörden ermöglichen, den IKT-bezogenen Vorfall weiter zu bewerten und etwaige Aufsichtsmaßnahmen, die sie ergreifen möchten, zu prüfen.
Erwägungsgrund 4 Balance of time limits
Die in Artikel 20 Absatz 1 Buchstabe a Ziffer ii der Verordnung (EU) 2022/2554 genannten Meldefristen sollten daher sicherstellen, dass die zuständigen Behörden die Informationen rasch erhalten, zugleich aber auch gewährleisten, dass den Finanzunternehmen ausreichend Zeit zur Verfügung steht, um sich vollständige und genaue Informationen zu beschaffen.
Erwägungsgrund 5 Microenterprises and to other financial entities that are not significant
Unter Berücksichtigung der in Artikel 20 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 festgelegten Kriterien sollten die Meldefristen keine unverhältnismäßige Belastung für Kleinstunternehmenein Finanzunternehmen, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet; und andere nicht bedeutende Finanzunternehmen darstellen. Um eine unverhältnismäßige Belastung für Finanzunternehmen zu vermeiden, sollten die Meldefristen darüber hinaus Wochenenden und Feiertage berücksichtigen.
Erwägungsgrund 6 Reporting significant cyber threats
Da erhebliche Cyberbedrohungen auf freiwilliger Basis gemeldet werden, sollte der Inhalt solcher Meldungen keine Belastung für die Finanzunternehmen darstellen und weniger Informationen enthalten müssen als bei schwerwiegenden IKT-bezogenen Vorfällen.
Erwägungsgrund 7 Draft regulatory technical standards from ESAs
Diese Verordnung beruht auf dem Entwurf technischer Regulierungsstandards, der der Kommission von den Europäischen Aufsichtsbehörden übermittelt wurde.
Erwägungsgrund 8 Open public consultations
Die Europäischen Aufsichtsbehörden haben zu diesem Entwurf öffentliche Konsultationen durchgeführt, die damit verbundenen potenziellen Kosten- und Nutzeneffekte analysiert und die Stellungnahme der nach Artikel 37 der Verordnungen (EU) Nr. 1093/2010(3)Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (EU) Nr. 1094/2010(4)Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/79/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). und (EU) Nr. 1095/2010(5)Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/77/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). des Europäischen Parlaments und des Rates eingesetzten Interessengruppen eingeholt.
Erwägungsgrund 9 Processing of personal data
Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates(6)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). konsultiert und gab am 22. Juli 2024 eine befürwortende Stellungnahme ab. Jede Verarbeitung personenbezogener Daten im Rahmen dieser Verordnung sollte im Einklang mit den einschlägigen Datenschutzgrundsätzen und den Bestimmungen der Verordnung (EU) 2018/1725 erfolgen —
HAT FOLGENDE VERORDNUNG ERLASSEN:
- Artikel 1Allgemeine Informationen, die in Erstmeldungen sowie in Zwischen- und Abschlussmeldungen schwerwiegender IKT-bezogener Vorfälle enthalten sein müssen
- Artikel 2Spezifische Informationen, die in Erstmeldungen enthalten sein müssen
- Artikel 3Spezifische Informationen, die in Zwischenmeldungen enthalten sein müssen
- Artikel 4Spezifische Informationen, die in Abschlussmeldungen enthalten sein müssen
- Artikel 5Fristen für die Erst-, Zwischen- und Abschlussmeldung
- Artikel 6Inhalt der freiwilligen Meldung erheblicher Cyberbedrohungen
- Artikel 7Inkrafttreten
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 23. Oktober 2024
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN