Artikel 21 Centralisering av rapportering av allvarliga IKT-relaterade incidenter

Tröskelvärden och taxonomier för rapportering av IKT-relaterade incidenter varierar avsevärt på nationell nivå. Även om en samsyn kan uppnås genom det relevanta arbete som utförs av Europeiska unionens cybersäkerhetsbyrå (Enisa), som inrättats genom Europaparlamentets och rådets förordning (EU) 2019/881(¹¹)Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15)., och samarbetsgruppen enligt direktiv (EU) 2022/2555, kan det fortfarande förekomma eller växa fram olika strategier för tröskelvärden och taxonomier för andra finansiella entiteter. Dessa skillnader medför flera krav som finansiella entiteter måste uppfylla, särskilt när de är verksamma i flera medlemsstater och när de ingår i en finansiell koncern. Sådana skillnader kan dessutom hindra inrättandet av ytterligare enhetliga eller centraliserade mekanismer på unionsnivå som påskyndar rapporteringsprocessen och underlättar ett snabbt och smidigt informationsutbyte mellan behöriga myndigheter, vilket är avgörande för att hantera IKT-risk vid storskaliga attacker med eventuella konsekvenser för det finansiella systemet.

För att de behöriga myndigheterna ska kunna fullgöra tillsynsuppgifter genom att skaffa sig en fullständig överblick över IKT-relaterade incidenters art, frekvens, betydelse och inverkan och för att förbättra informationsutbytet mellan berörda offentliga myndigheter, inbegripet brottsbekämpande myndigheter och resolutionsmyndigheter, bör denna förordning fastställa regler för att uppnå ett stabilt rapporteringssystem för IKT-relaterade incidenter, där relevanta krav åtgärdar befintliga luckor i rätten avseende finansiella tjänster och undanröjer överlappningar och dubbleringar för att minska kostnaderna. Det är därför viktigt att harmonisera rapporteringssystemet för IKT-relaterade incidenter genom att kräva att alla finansiella entiteter rapporterar till sina behöriga myndigheter genom en harmoniserad ram i enlighet med denna förordning. Dessutom bör de europeiska tillsynsmyndigheterna ges befogenhet att närmare specificera relevanta delar i ramen för rapportering av IKT-relaterade incidenter, såsom taxonomi, tidsramar, datamängder, mallar och tillämpliga tröskelvärden. För att säkerställa fullständig överensstämmelse med direktiv (EU) 2022/2555 bör finansiella entiteter på frivillig basis tillåtas rapportera betydande cyberhot till den relevanta behöriga myndigheten, när de anser att cyberhotet är relevant för det finansiella systemet, tjänsteanvändare eller kunder.

Spridare av cyberangrepp tenderar att eftersträva ekonomisk vinning direkt vid källan, vilket utsätter finansiella entiteter för betydande konsekvenser. I syfte att förhindra att IKT-system förlorar integritet eller blir otillgängliga, och därmed undvika dataintrång och skador för den fysiska IKT-infrastrukturen, bör finansiella entiteters rapportering av allvarliga IKT-relaterade incidenter avsevärt förbättras och förenklas. IKT-relaterad incidentrapportering bör harmoniseras genom införande av ett krav för alla finansiella entiteter att rapportera direkt till sina berörda behöriga myndigheter. Om en finansiell entitet är föremål för tillsyn av mer än en nationell behörig myndighet bör medlemsstaterna utse en enda behörig myndighet som mottagare av sådan rapportering. Kreditinstitut som klassificerats som betydande i enlighet med artikel 6.4 i rådets förordning (EU) nr 1024/2013(¹⁹)Rådets förordning (EU) nr 1024/2013 av den 15 oktober 2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut (EUT L 287, 29.10.2013, s. 63). bör förelägga de nationella behöriga myndigheterna sådan rapportering, och dessa bör därefter översända rapporten till Europeiska centralbanken (ECB).

De europeiska tillsynsmyndigheterna bör få i uppdrag att bedöma genomförbarheten av och villkoren för en eventuell centralisering av IKT-relaterade incidentrapporter på unionsnivå. Sådan centralisering kan bestå av en gemensam EU-knutpunkt för rapportering av allvarliga IKT-relaterade incidenter, som antingen direkt tar emot relevanta rapporter och automatiskt underrättar nationella behöriga myndigheter, eller som enbart centraliserar relevanta rapporter från de nationella behöriga myndigheterna och därmed fyller en samordnande funktion. De europeiska tillsynsmyndigheterna bör få i uppdrag att i samråd med ECB och Enisa utarbeta en gemensam rapport om möjligheten att inrätta en gemensam EU-knutpunkt.