Preamble Recitals

Afin que les entités financières déclarent les incidents majeurs à leurs autorités compétentes de manière cohérente et qu’elles fournissent auxdites autorités des données de bonne qualité, il convient de préciser les champs de données correspondant aux données que les entités financières doivent fournir aux différentes étapes de la déclaration prévue à l’article 19, paragraphe 4, du règlement (UE) 2022/2554. Il importe que ces informations soient présentées de manière que l’on puisse disposer d’une vue d’ensemble unique de l’incident. Il est donc nécessaire d’établir un modèle de déclaration unique à ces fins.

Les entités financières devraient remplir les champs de données du modèle de déclaration qui correspondent aux exigences d’information applicables à la notification ou déclaration concernée. Toutefois, les entités financières qui disposent déjà d’informations qu’elles doivent fournir à un stade ultérieur de la déclaration, c’est-à-dire dans le rapport intermédiaire ou le rapport final, devraient être autorisées à anticiper la communication de ces données.

Étant donné que des incidents multiples ou récurrents peuvent constituer un incident majeur au sens de l’article 8 du règlement délégué (UE) 2024/1772 de la Commission(²)Règlement délégué (UE) 2024/1772 de la Commission du 13 mars 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les critères de classification des incidents liés aux TIC et des cybermenaces, fixant des seuils d’importance significative et précisant les détails des rapports d’incidents majeurs (JO L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj)., la conception du modèle de déclaration et des champs de données devrait permettre aux entités financières de déclarer ces incidents récurrents.

Afin que les informations soient exactes et à jour, le modèle de déclaration devrait permettre aux entités financières, lorsqu’elles soumettent le rapport intermédiaire et le rapport final, de mettre à jour toutes les informations qui ont été précédemment communiquées et, s’il y a lieu, de reclasser les incidents majeurs en incidents non majeurs.

L’identification juridique des entités devrait être harmonisée avec les identifiants indiqués dans les normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554.

Lorsque des entités financières externalisent auprès d’un tiers les obligations de déclaration des incidents majeurs liés aux TIC, les autorités compétentes devraient avoir connaissance de l’identité du tiers effectuant la déclaration au nom de l’entité financière avant que la première notification ou déclaration soit soumise, afin de vérifier la légitimité du tiers déclarant.

Pour mesurer facilement l’incidence d’un incident qui est survenu chez un prestataire tiers, ou a été causé par celui-ci, et qui touche plusieurs entités financières au sein d’un même État membre, ainsi que pour réduire l’effort de déclaration qui pèse sur les entités financières, le modèle de déclaration devrait permettre la soumission d’un rapport agrégé qui reprenne les informations agrégées concernant l’incidence de l’incident sur toutes les entités financières touchées qui ont classé l’incident comme majeur.

Le modèle de déclaration devrait être conçu de manière neutre sur le plan technologique afin qu’il puisse être transposé dans diverses solutions de notification des incidents qui existent déjà ou qui peuvent être élaborées pour la mise en œuvre des exigences du règlement (UE) 2022/2554.

La conception du modèle de déclaration et des champs de données devrait faciliter la notification des incidents majeurs liés aux TIC par les tiers auprès desquels des entités financières ont externalisé leur obligation de déclaration en vertu de l’article 19, paragraphe 5, du règlement (UE) 2022/2554.

Le présent règlement se fonde sur le projet de normes techniques d’exécution soumis à la Commission par les autorités européennes de surveillance.

Les autorités européennes de surveillance ont procédé à des consultations publiques ouvertes sur les projets de normes techniques d’exécution sur lesquels se fonde le présent règlement, en ont analysé les coûts et avantages potentiels et ont sollicité l’avis du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur bancaire institué par l’article 37 des règlements (UE) n^o 1093/2010(³)Règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (UE) n^o 1094/2010(⁴)Règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et (UE) n^o 1095/2010(⁵)Règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). du Parlement européen et du Conseil.

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(⁶)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et a rendu un avis favorable le 22 juillet 2024. Tout traitement de données à caractère personnel relevant du champ d’application du présent règlement devrait être effectué conformément aux principes et dispositions applicables en matière de protection des données énoncés dans le règlement (UE) 2018/1725,