Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 19 Rapportering av allvarliga IKT-relaterade incidenter och frivillig anmälan av betydande cyberhot
Finansiella entiteter ska rapportera allvarliga IKT-relaterade incidenter till den relevanta behöriga myndighet som avses i artikel 46 i enlighet med punkt 4 i den här artikeln.
Om en finansiell entitet är föremål för tillsyn av mer än en sådan nationell behörig myndighet som avses i artikel 46 ska medlemsstaterna utse en enda behörig myndighet till relevant behörig myndighet med ansvar för att utföra de funktioner och skyldigheter som föreskrivs i denna artikel.
Kreditinstitut som klassificeras som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013 ska rapportera allvarliga IKT-relaterade incidenter till den relevanta nationella behöriga myndighet som utsetts i enlighet med artikel 4 i direktiv 2013/36/EU, och myndigheten ska omedelbart översända den rapporten till ECB.
Vid tillämpning av första stycket ska finansiella entiteter, efter att ha samlat in och analyserat all relevant information, utarbeta den första anmälan och de rapporter som avses i punkt 4 i denna artikel med hjälp av de mallar som avses i artikel 20 och överlämna dem till den behöriga myndigheten. Om det visar sig vara tekniskt omöjligt att överföra den första anmälan med hjälp av mallen ska finansiella entiteter anmäla till den behöriga myndigheten på annat vis.
Den första anmälan och de rapporter som avses i punkt 4 ska innehålla all information som är nödvändig för att den behöriga myndigheten ska kunna fastställa betydelsen av den allvarliga IKT-relaterade incidenten och bedöma eventuella gränsöverskridande konsekvenser.
Utan att det påverkar den finansiella entitetens rapportering enligt första stycket till den relevanta behöriga myndigheten får medlemsstaterna även besluta att vissa eller alla finansiella entiteter dessutom till den första anmälan och de rapporter som avses i punkt 4 i denna artikel ska använda de mallar som avses i artikel 20 när de överlämnar anmälan och rapporterna till de behöriga myndigheterna eller de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555.
Finansiella entiteter får på frivillig basis rapportera betydande cyberhot till den relevanta behöriga myndigheten, när de anser att hotet är relevant för det finansiella systemet, tjänsteanvändarna eller kunderna. Den relevanta behöriga myndigheten får lämna sådan information till de andra relevanta myndigheter som avses i punkt 6.
Kreditinstitut som klassificeras som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013 får på frivillig basis rapportera betydande cyberhot till den relevanta nationella behöriga myndighet som utsetts i enlighet med artikel 4 i direktiv 2013/36/EU, och myndigheten ska omedelbart översända den anmälan till ECB.
Medlemsstaterna får fastställa att de finansiella entiteter som rapporterar på frivillig basis i enlighet med första stycket också får vidarebefordra den anmälan till de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555.
Om en allvarlig IKT-relaterad incident inträffar och påverkar kunders ekonomiska intressen ska finansiella entiteter utan onödigt dröjsmål så snart de blir medvetna om den informera sina kunder om den allvarliga IKT-relaterade incidenten och om de åtgärder som har vidtagits för att mildra de negativa effekterna av en sådan incident.
I händelse av ett betydande cyberhot ska finansiella entiteter, i tillämpliga fall, informera de kunder som kan påverkas om alla lämpliga skyddsåtgärder som de sistnämnda kan överväga att vidta.
Finansiella entiteter ska, inom de tidsfrister som ska fastställas i enlighet med artikel 20 första stycket a ii, lämna följande till den relevanta behöriga myndigheten:
En första anmälan.
En delrapport efter den första anmälan som avses i led a, så snart statusen för den ursprungliga incidenten har förändrats avsevärt eller hanteringen av den allvarliga IKT-relaterade incidenten har förändrats på grund av ny tillgänglig information, när så är lämpligt åtföljd av uppdaterade anmälningar varje gång en relevant statusuppdatering finns tillgänglig, samt på särskild begäran av den behöriga myndigheten.
En slutrapport, när analysen av grundorsakerna har slutförts, oavsett om begränsande åtgärder redan har vidtagits, och när de faktiska påverkanssiffrorna finns tillgängliga för att ersätta uppskattningar.
Finansiella entiteter får i enlighet med unionsrätten och nationell rätt på området utkontraktera rapporteringsskyldigheterna enligt denna artikel till en tredjepartsleverantör av tjänster. Vid sådan utkontraktering bär den finansiella entiteten det fulla ansvaret för efterlevnaden av incidentrapporteringskraven.
Efter mottagandet av den första anmälan och av varje rapport som avses i punkt 4 ska den behöriga myndigheten skyndsamt lämna närmare uppgifter om den allvarliga IKT-relaterade incidenten till följande mottagare, i tillämpliga fall på grundval av deras respektive behörigheter:
EBA, Esma eller Eiopa,
ECB när det gäller de finansiella entiteter som avses i artikel 2.1 a, b och d,
de behöriga myndigheter, de gemensamma kontaktpunkter eller de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555,
de resolutionsmyndigheter som avses i artikel 3 i direktiv 2014/59/EU och den gemensamma resolutionsnämnden när det gäller sådana enheter som avses i artikel 7.2 i Europaparlamentets och rådets förordning (EU) nr 806/2014(37)Europaparlamentets och rådets förordning (EU) nr 806/2014 av den 15 juli 2014 om fastställande av enhetliga regler och ett enhetligt förfarande för resolution av kreditinstitut och vissa värdepappersföretag inom ramen för en gemensam resolutionsmekanism och en gemensam resolutionsfond och om ändring av förordning (EU) nr 1093/2010 (EUT L 225, 30.7.2014, s. 1). och när det gäller sådana enheter och koncerner som avses i artikel 7.4 b och 7.5 i förordning (EU) nr 806/2014 om sådana detaljer gäller incidenter som utgör en risk för säkerställandet av kritiska funktioner i den mening som avses i artikel 2.1.35 i direktiv 2014/59/EU, och
andra relevanta offentliga myndigheter enligt nationell rätt.
Efter att ha mottagit information i enlighet med punkt 6 ska EBA, Esma eller Eiopa och ECB, i samråd med Enisa och i samarbete med den relevanta behöriga myndigheten, bedöma huruvida den allvarliga IKT-relaterade incidenten är relevant för behöriga myndigheter i andra medlemsstater. Efter denna bedömning ska EBA, Esma eller Eiopa så snart som möjligt underrätta de relevanta behöriga myndigheterna i andra medlemsstater i ärendet. ECB ska underrätta medlemmarna i Europeiska centralbankssystemet om frågor som är relevanta för betalningssystemet. Baserat på denna underrättelse ska de behöriga myndigheterna vid behov vidta alla nödvändiga åtgärder för att skydda det finansiella systemets omedelbara stabilitet.
Den anmälan som Esma ska göra enligt punkt 7 i denna artikel ska inte påverka den behöriga myndighetens skyldighet att skyndsamt översända uppgifterna om den allvarliga IKT-relaterade incidenten till den relevanta myndigheten i värdmedlemsstaten, om en värdepapperscentral har betydande gränsöverskridande verksamhet i värdmedlemsstaten, om den allvarliga IKT-relaterade incidenten sannolikt kommer att medföra allvarliga konsekvenser för finansmarknaderna i värdmedlemsstaten och om det finns samarbetsarrangemang mellan behöriga myndigheter som gäller tillsynen av finansiella entiteter.
Relevant recitals
Skäl 22 Divergent incident reporting requirements
Tröskelvärden och taxonomier för rapportering av IKT-relaterade incidenter varierar avsevärt på nationell nivå. Även om en samsyn kan uppnås genom det relevanta arbete som utförs av Europeiska unionens cybersäkerhetsbyrå (Enisa), som inrättats genom Europaparlamentets och rådets förordning (EU) 2019/881(11)Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15)., och samarbetsgruppen enligt direktiv (EU) 2022/2555, kan det fortfarande förekomma eller växa fram olika strategier för tröskelvärden och taxonomier för andra finansiella entiteter. Dessa skillnader medför flera krav som finansiella entiteter måste uppfylla, särskilt när de är verksamma i flera medlemsstater och när de ingår i en finansiell koncern. Sådana skillnader kan dessutom hindra inrättandet av ytterligare enhetliga eller centraliserade mekanismer på unionsnivå som påskyndar rapporteringsprocessen och underlättar ett snabbt och smidigt informationsutbyte mellan behöriga myndigheter, vilket är avgörande för att hantera IKT-risk vid storskaliga attacker med eventuella konsekvenser för det finansiella systemet.
Skäl 24 Robust ICT-related incident reporting regime
För att de behöriga myndigheterna ska kunna fullgöra tillsynsuppgifter genom att skaffa sig en fullständig överblick över IKT-relaterade incidenters art, frekvens, betydelse och inverkan och för att förbättra informationsutbytet mellan berörda offentliga myndigheter, inbegripet brottsbekämpande myndigheter och resolutionsmyndigheter, bör denna förordning fastställa regler för att uppnå ett stabilt rapporteringssystem för IKT-relaterade incidenter, där relevanta krav åtgärdar befintliga luckor i rätten avseende finansiella tjänster och undanröjer överlappningar och dubbleringar för att minska kostnaderna. Det är därför viktigt att harmonisera rapporteringssystemet för IKT-relaterade incidenter genom att kräva att alla finansiella entiteter rapporterar till sina behöriga myndigheter genom en harmoniserad ram i enlighet med denna förordning. Dessutom bör de europeiska tillsynsmyndigheterna ges befogenhet att närmare specificera relevanta delar i ramen för rapportering av IKT-relaterade incidenter, såsom taxonomi, tidsramar, datamängder, mallar och tillämpliga tröskelvärden. För att säkerställa fullständig överensstämmelse med direktiv (EU) 2022/2555 bör finansiella entiteter på frivillig basis tillåtas rapportera betydande cyberhot till den relevanta behöriga myndigheten, när de anser att cyberhotet är relevant för det finansiella systemet, tjänsteanvändare eller kunder.
Skäl 51 Streamlined ICT-related incident reporting
Spridare av cyberangrepp tenderar att eftersträva ekonomisk vinning direkt vid källan, vilket utsätter finansiella entiteter för betydande konsekvenser. I syfte att förhindra att IKT-system förlorar integritet eller blir otillgängliga, och därmed undvika dataintrång och skador för den fysiska IKT-infrastrukturen, bör finansiella entiteters rapportering av allvarliga IKT-relaterade incidenter avsevärt förbättras och förenklas. IKT-relaterad incidentrapportering bör harmoniseras genom införande av ett krav för alla finansiella entiteter att rapportera direkt till sina berörda behöriga myndigheter. Om en finansiell entitet är föremål för tillsyn av mer än en nationell behörig myndighet bör medlemsstaterna utse en enda behörig myndighet som mottagare av sådan rapportering. Kreditinstitut som klassificerats som betydande i enlighet med artikel 6.4 i rådets förordning (EU) nr 1024/2013(19)Rådets förordning (EU) nr 1024/2013 av den 15 oktober 2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut (EUT L 287, 29.10.2013, s. 63). bör förelägga de nationella behöriga myndigheterna sådan rapportering, och dessa bör därefter översända rapporten till Europeiska centralbanken (ECB).
Skäl 53 Materiality thresholds and reporting timelines
Även om det bör krävas att alla finansiella entiteter rapporterar incidenter förväntas inte det kravet påverka dem alla på samma sätt. Relevanta väsentlighetströsklar och rapporteringsfrister bör vederbörligen anpassas, inom ramen för delegerade akter grundade på tekniska standarder för tillsyn som utarbetas av de europeiska tillsynsmyndigheterna, med syftet att endast omfatta allvarliga IKT-relaterade incidenter. Dessutom bör finansiella entiteters särdrag beaktas när fristerna för rapporteringsskyldigheter fastställs.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.