Preamble Recitals

Um eine Harmonisierung und Vereinfachung der in Artikel 19 Absatz 4 der Verordnung (EU) 2022/2554 genannten Meldungen und Meldepflichten bei schwerwiegenden IKT-bezogenen Vorfällen sicherzustellen, sollten die Fristen für die Meldung schwerwiegender IKT-bezogener Vorfälle für alle Arten von Finanzunternehmen einem einheitlichen Ansatz folgen. Aus demselben Grund sollten die Fristen so weit wie möglich auch mit dem mit den Anforderungen der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates(²)Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L 333 vom 27.12.2022, S. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj). verfolgten Ansatz in Einklang stehen oder zumindest eine gleichwertige Wirkung haben.

Um die Finanzunternehmen zu dem Zeitpunkt, zu dem sie mit dem IKT-bezogenen Vorfall beschäftigt sind, nicht zusätzlich mit unangemessenem Meldeaufwand zu belasten, sollte sich der Inhalt der Erstmeldung auf die wichtigsten Informationen beschränken. Um angemessene Aufsichtsmaßnahmen ergreifen zu können, benötigen die zuständigen Behörden schnellstmöglich Informationen zu schwerwiegenden IKT-bezogenen Vorfällen, sobald das Finanzunternehmen einen solchen Vorfall als schwerwiegend eingestuft hat. Folglich sollte die Frist für die Übermittlung einer in Artikel 19 Absatz 4 Buchstabe a der Verordnung (EU) 2022/2554 genannten Erstmeldung nach Einstufung eines IKT-bezogenen Vorfalls als schwerwiegend so kurz wie möglich sein, wobei jedoch Finanzunternehmen, die für einen IKT-bezogenen Vorfall mehr Zeit benötigen, nachdem sie von diesem Kenntnis erlangt haben, Spielraum gewährt werden sollte, insbesondere bei nicht betont zeitkritischen Geschäftsmodellen im Dienstleistungssektor.

Nach Eingang der Erstmeldung sollten die zuständigen Behörden in der Zwischenmeldung ausführlichere Informationen über den IKT-bezogenen Vorfall und in der Abschlussmeldung dann alle relevanten Informationen erhalten. Die in diesen Meldungen enthaltenen Informationen sollten es den zuständigen Behörden ermöglichen, den IKT-bezogenen Vorfall weiter zu bewerten und etwaige Aufsichtsmaßnahmen, die sie ergreifen möchten, zu prüfen.

Die in Artikel 20 Absatz 1 Buchstabe a Ziffer ii der Verordnung (EU) 2022/2554 genannten Meldefristen sollten daher sicherstellen, dass die zuständigen Behörden die Informationen rasch erhalten, zugleich aber auch gewährleisten, dass den Finanzunternehmen ausreichend Zeit zur Verfügung steht, um sich vollständige und genaue Informationen zu beschaffen.

Unter Berücksichtigung der in Artikel 20 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 festgelegten Kriterien sollten die Meldefristen keine unverhältnismäßige Belastung für Kleinstunternehmenein Finanzunternehmen, bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. -bilanzsumme 2 Mio. EUR nicht überschreitet; und andere nicht bedeutende Finanzunternehmen darstellen. Um eine unverhältnismäßige Belastung für Finanzunternehmen zu vermeiden, sollten die Meldefristen darüber hinaus Wochenenden und Feiertage berücksichtigen.

Da erhebliche Cyberbedrohungen auf freiwilliger Basis gemeldet werden, sollte der Inhalt solcher Meldungen keine Belastung für die Finanzunternehmen darstellen und weniger Informationen enthalten müssen als bei schwerwiegenden IKT-bezogenen Vorfällen.

Diese Verordnung beruht auf dem Entwurf technischer Regulierungsstandards, der der Kommission von den Europäischen Aufsichtsbehörden übermittelt wurde.

Die Europäischen Aufsichtsbehörden haben zu diesem Entwurf öffentliche Konsultationen durchgeführt, die damit verbundenen potenziellen Kosten- und Nutzeneffekte analysiert und die Stellungnahme der nach Artikel 37 der Verordnungen (EU) Nr. 1093/2010(³)Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (EU) Nr. 1094/2010(⁴)Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/79/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). und (EU) Nr. 1095/2010(⁵)Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/77/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). des Europäischen Parlaments und des Rates eingesetzten Interessengruppen eingeholt.

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates(⁶)Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). konsultiert und gab am 22. Juli 2024 eine befürwortende Stellungnahme ab. Jede Verarbeitung personenbezogener Daten im Rahmen dieser Verordnung sollte im Einklang mit den einschlägigen Datenschutzgrundsätzen und den Bestimmungen der Verordnung (EU) 2018/1725 erfolgen —