Source: OJ L, 2025/302, 20.2.2025
Current language: SV
ITS on templates for incident reporting
KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2025/302
av den 23 oktober 2024
om fastställande av tekniska genomförandestandarder för tillämpningen av Europaparlamentets och rådets förordning (EU) 2022/2554 vad gäller standardformulär, mallar och förfaranden för att finansiella entiteter ska kunna rapportera allvarliga IKT-relaterade incidenter och anmäla betydande cyberhot
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011(1)EUT L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj., särskilt artikel 20 fjärde stycket, och
av följande skäl:
Skäl 1 Single reporting template
För att säkerställa att finansiella entiteter rapporterar allvarliga incidenter till sina behöriga myndigheter på ett konsekvent sätt och för att säkerställa att de förser dessa myndigheter med uppgifter av god kvalitet bör det specificeras vilka datafält finansiella entiteter måste tillhandahålla i de olika skedena av den rapportering som avses i artikel 19.4 i förordning (EU) 2022/2554. Det är viktigt att denna information presenteras på ett sätt som möjliggör en samlad översikt över incidenten. Det är därför nödvändigt att fastställa en gemensam rapporteringsmall för dessa ändamål.
Skäl 2 Filling in the reporting template
Finansiella entiteter bör fylla i de datafält i rapporteringsmallen som motsvarar informationskraven för respektive anmälan eller rapport. Finansiella entiteter som redan har information som de ska lämna in i ett senare rapporteringsskede, dvs. i delrapporten eller slutrapporten, bör dock tillåtas att lämna in uppgifterna i förväg.
Skäl 3 Recurring incidents
Eftersom flera eller återkommande incidenter kan utgöra en allvarlig incident enligt artikel 8 i kommissionens delegerade förordning (EU) 2024/1772(2)Kommissionens delegerade förordning (EU) 2024/1772 av den 13 mars 2024 om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2554 vad gäller tekniska standarder för tillsyn som specificerar kriterierna för klassificering av IKT-relaterade incidenter och cyberhot, fastställande av väsentlighetströsklar och närmare uppgifter om rapporter om allvarliga incidenter (EUT L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj). bör utformningen av rapporteringsmallen och datafälten göra det möjligt för finansiella entiteter att rapportera sådana återkommande incidenter.
Skäl 4 Updating previous information
För att säkerställa korrekt och aktuell information bör rapporteringsmallen göra det möjligt för finansiella entiteter att, när de lämnar in del- och slutrapporten, uppdatera all information som lämnats tidigare och vid behov omklassificera allvarliga incidenter som icke-allvarliga.
Skäl 5 Legal identification of entities
Den rättsliga identifieringen av entiteter bör anpassas till de identifikatorer som anges i de tekniska genomförandestandarder som antagits i enlighet med artikel 28.9 i förordning (EU) 2022/2554.
Skäl 6 Outsourcing of incident reporting obligations
Om finansiella entiteter utkontrakterar rapporteringsskyldigheten avseende allvarliga IKT-relaterade incidenter till en tredje part bör de behöriga myndigheterna känna till identiteten på den tredje part som utför rapporteringen för den finansiella entitetens räkning innan den första anmälan eller rapporterna lämnas in för att kontrollera den rapporterande tredje partens legitimitet.
Skäl 7 Incidents concerning ICT third-party service providers
För att enkelt kunna fastställa effekterna av en incident som inträffat hos eller orsakats av en tredjepartsleverantör och som påverkar flera finansiella entiteter inom en enda medlemsstat, och för att minska rapporteringsbördan för de finansiella entiteterna, bör rapporteringsmallen göra det möjligt att lämna in en aggregerad rapport som omfattar aggregerad information om incidentens inverkan på alla finansiella entiteter som påverkats och som har klassificerat incidenten som allvarlig.
Skäl 8 Technology neutral template
Rapporteringsmallen bör utformas på ett teknikneutralt sätt så att den kan användas i olika lösningar för incidentrapportering som redan finns eller som kan utvecklas för genomförandet av kraven i förordning (EU) 2022/2554.
Skäl 9 Facilitate outsourced incident reporting
Utformningen av rapporteringsmallen och datafälten bör underlätta rapporteringen av allvarliga IKT-relaterade incidenter för tredje parter till vilka finansiella entiteter har utkontrakterat sin rapporteringsskyldighet i enlighet med artikel 19.5 i förordning (EU) 2022/2554.
Skäl 10 Draft implementing technical standards from ESAs
Denna förordning grundar sig på det förslag till tekniska genomförandestandarder som de europeiska tillsynsmyndigheterna har lagt fram för kommissionen.
Skäl 11 Open public consultations
De europeiska tillsynsmyndigheterna har anordnat öppna offentliga samråd om de förslag till tekniska genomförandestandarder som den här förordningen grundas på, gjort en analys av möjliga kostnader och fördelar samt begärt råd från den bankintressentgrupp som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordningar (EU) nr 1093/2010(3)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (EU) nr 1094/2010(4)Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). och (EU) nr 1095/2010(5)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..
Skäl 12 Processing of personal data
Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725(6)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). och avgav ett positivt yttrande den 22 juli 2024. All behandling av personuppgifter som omfattas av denna förordning bör utföras i enlighet med de tillämpliga principerna för och bestämmelserna om dataskydd i förordning (EU) 2018/1725.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
- Artikel 1Mall för rapportering av allvarliga IKT-relaterade incidenter
- Artikel 2Gemensam inlämning av den första anmälan, delrapporten och slutrapporten
- Artikel 3Återkommande IKT-relaterade incidenter
- Artikel 4Användning av säkra elektroniska kanaler
- Artikel 5Omklassificering av en allvarlig IKT-relaterad incident
- Artikel 6Anmälan om utkontraktering av rapporteringsskyldigheter
- Artikel 7Aggregerad rapportering
- Artikel 8Anmälan av betydande cyberhot
- Artikel 9Ikraftträdande
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 23 oktober 2024.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande