Bilaga II ORDLISTA OCH INSTRUKTIONER FÖR RAPPORTERING AV ALLVARLIGA INCIDENTER

• Första anmälan,

• Delrapport,

• Slutrapport,

• Allvarlig incident som omklassificerats som icke-allvarlig.

Identifieringskod för den entitet som lämnar in rapporten.

Om de finansiella entiteterna lämnar in anmälan/rapporten ska identifieringskoden vara en identifieringskod för juridiska personer (LEI-kod), som är en unik kod med 20 alfanumeriska tecken, på grundval av ISO 17442–1:2020.

En tredjepartsleverantör som lämnar in en rapport för en finansiell entitet kan använda en identifieringskod i enlighet med de tekniska genomförandestandarder som antagits i enlighet med artikel 28.9 i förordning (EU) 2022/2554..

Typ av entitet som avses i artikel 2.1 a–t i förordning (EU) 2022/2554 för vilken rapporten lämnas in.

Vid aggregerad rapportering enligt artikel 7 i denna förordning ska de olika typer av finansiella entiteter som omfattas av den aggregerade rapporten väljas.

• Kreditinstitutett kreditinstitut enligt definitionen i artikel 4.1.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013(32) Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012 (EUT L 176, 27.6.2013, s. 1)..,

• Betalningsinstitutett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366.,

• Undantaget betalningsinstitutett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366.,

• Leverantör av kontoinformationstjänstersådana leverantörer av kontoinformationstjänster som avses i artikel 33.1 i direktiv (EU) 2015/2366.,

• Institut för elektroniska pengarett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG.,

• Undantaget institut för elektroniska pengarett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG.,

• Värdepappersföretagett värdepappersföretag enligt definitionen i artikel 4.1.1 i direktiv 2014/65/EU.

• Leverantör av kryptotillgångstjänsteren leverantör av kryptotillgångstjänster enligt definitionen i de relevanta bestämmelserna i förordningen om kryptotillgångar.,

• Emittent av tillgångsanknutna tokenen emittent av tillgångsanknutna token enligt definitionen i de relevanta bestämmelserna i förordningen om kryptotillgångar.,

• Värdepapperscentralen värdepapperscentral enligt definitionen i artikel 2.1.1 i förordning (EU) nr 909/2014.,

• Central motparten central motpart enligt definitionen i artikel 2.1 förordning (EU) nr 648/2012.,

• Handelsplatsen handelsplats enligt definitionen i artikel 4.1.24 i direktiv 2014/65/EU.,

• Transaktionsregisterett transaktionsregister enligt definitionen i artikel 2.2 i förordning (EU) nr 648/2012.,

• Förvaltare av alternativa investeringsfonderen förvaltare av alternativa investeringsfonder enligt definitionen i artikel 4.1 b i direktiv 2011/61/EU.,

• Förvaltningsbolagett förvaltningsbolag enligt definitionen i artikel 2.1 b i direktiv 2009/65/EG.,

• Leverantör av datarapporteringstjänsteren leverantör av datarapporteringstjänster i enlighet med vad som avses i artikel 2.1.34–36 i förordning (EU) nr 600/2014.,

• Försäkrings- och återförsäkringsföretagett återförsäkringsföretag enligt definitionen i artikel 13.4 i direktiv 2009/138/EG.,

• Försäkringsförmedlareen försäkringsförmedlare enligt definitionen i artikel 2.1.3 i Europaparlamentets och rådets direktiv (EU) 2016/97(34) Europaparlamentets och rådets direktiv (EU) 2016/97 av den 20 januari 2016 om försäkringsdistribution (EUT L 26, 2.2.2016, s. 19).., återförsäkringsförmedlareen återförsäkringsförmedlare enligt definitionen i artikel 2.1.5 i direktiv (EU) 2016/97. och försäkringsförmedlare som bedriver förmedling som sidoverksamheten försäkringsförmedlare som bedriver förmedling som sidoverksamhet enligt definitionen i artikel 2.1.4 i direktiv (EU) 2016/97.,

• Tjänstepensionsinstitutett tjänstepensionsinstitut enligt definitionen i artikel 6.1 i direktiv (EU) 2016/2341.,

• Kreditvärderingsinstitutett kreditvärderingsinstitut enligt definitionen i artikel 3.1 b i förordning (EG) nr 1060/2009.,

• Administratör av kritiska referensvärdenen administratör av kritiska referensvärden enligt definitionen i artikel 3.1.25 i förordning (EU) 2016/1011.,

• Leverantör av gräsrotsfinansieringstjänsteren leverantör av gräsrotsfinansieringstjänster enligt definitionen i artikel 2.1 e i Europaparlamentets och rådets förordning (EU) 2020/1503(35) Europaparlamentets och rådets förordning (EU) 2020/1503 av den 7 oktober 2020 om europeiska leverantörer av gräsrotsfinansieringstjänster för företag och om ändring av förordning (EU) 2017/1129 och direktiv (EU) 2019/1937 (EUT L 347, 20.10.2020, s. 1)..,

• Värdepapperiseringsregisterett värdepapperiseringsregister enligt definitionen i artikel 2.23 i Europaparlamentets och rådets förordning (EU) 2017/2402(36) Europaparlamentets och rådets förordning (EU) 2017/2402 av den 12 december 2017 om ett allmänt ramverk för värdepapperisering och om inrättande av ett särskilt ramverk för enkel, transparent och standardiserad värdepapperisering samt om ändring av direktiven 2009/65/EG, 2009/138/EG och 2011/61/EU och förordningarna (EG) nr 1060/2009 och (EU) nr 648/2012 (EUT L 347, 28.12.2017, s. 35)...

Fullständigt juridiskt namn på den finansiella entitet som berörs av den allvarliga IKT-relaterade incidenten och som ska rapportera den allvarliga incidenten till sin behöriga myndighet enligt artikel 19 i förordning (EU) 2022/2554.

• En förteckning över alla namn på de finansiella entiteter som berörs av den allvarliga IKT-relaterade incidenten, med ett semikolon emellan,

• Den tredjepartsleverantör som lämnar in en anmälan om en allvarlig incident eller en rapport på ett aggregerat sätt enligt artikel 7 i denna förordning ska ange namnen på alla finansiella entiteter som berörs av incidenten, med ett semikolon emellan.

Identifieringskoden för juridiska personer (LEI-koden) för den finansiella entitet som berörs av den allvarliga IKT-relaterade incidenten, vilken tilldelats i enlighet med Internationella standardiseringsorganisationen.

• En förteckning med alla LEI-koder för de finansiella entiteter som berörs av den allvarliga IKT-relaterade incidenten, med ett semikolon emellan,

• Den tredjepartsleverantör som lämnar in en anmälan eller rapport om en allvarlig incident eller på ett aggregerat sätt enligt artikel 7 i denna förordning ska ange LEI-koderna för alla finansiella entiteter som berörs av incidenten, med ett semikolon emellan.

Ordningsföljden för LEI-koderna och namnen på de finansiella entiteterna ska vara densamma.

Namn och efternamn på den finansiella entitetens primära kontaktperson.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, namnet på den primära kontaktpersonen för den entitet som lämnar in den aggregerade rapporten.

E-postadress till den primära kontaktpersonen som kan användas av den behöriga myndigheten för uppföljande kommunikation.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, e-postadressen till den primära kontaktpersonen för den entitet som lämnar in den aggregerade rapporten.

Telefonnummer till den primära kontaktpersonen som kan användas av den behöriga myndigheten för uppföljande kommunikation.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, telefonnumret till den primära kontaktpersonen för den entitet som lämnar in den aggregerade rapporten.

Telefonnumret ska anges med alla internationella prefix (t.ex. +33XXXXXXXXX)

Telefonnummer till den sekundära kontaktpersonen eller en grupp som kan användas av den behöriga myndigheten för uppföljande kommunikation.

Telefonnumret ska anges med alla internationella prefix (t.ex. +33XXXXXXXXX)

Unik referenskod som utfärdats av den finansiella entiteten och som otvetydigt identifierar den allvarliga IKT-relaterade incidenten.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, den referenskod för incidenten som tilldelats av tredjepartsleverantören.

Datum och tidpunkt då den finansiella entiteten fick kännedom om den IKT-relaterade incidenten.

För återkommande incidenter, det datum och den tidpunkt då den senaste IKT-relaterade incidenten upptäcktes.

Beskrivning av de mest relevanta aspekterna av den allvarliga IKT-relaterade incidenten.

Finansiella entiteter ska tillhandahålla en översikt på hög nivå över följande information, såsom möjliga orsaker, omedelbara effekter, berörda system osv. Finansiella entiteter ska, om detta är känt eller rimligen kan förväntas, inkludera huruvida incidenten påverkar tredjepartsleverantörer eller andra finansiella entiteter, typen av leverantör eller finansiell entitet, deras namn, deras respektive identifieringskoder och typ av identifieringskod (t.ex. LEI-kod eller EUID).

I efterföljande rapporter kan innehållet i fälten utvecklas med tiden för att återspegla den pågående förståelsen av den IKT-relaterade incidenten och beskriva all annan relevant information om den IKT-relaterade incidenten som inte har fastslagits i datafälten, inbegripet den finansiella entitetens interna allvarlighetsbedömning (t.ex. mycket låg, låg, medelhög, hög, mycket hög) och en indikation på nivån och namnet på de högsta beslutsstrukturer som har varit inblandade i reaktionen på den IKT-relaterade incidenten.

Klassificeringskriterier enligt delegerad förordning (EU) 2024/1772 som har lett till att den IKT-relaterade incidenten fastställdes som allvarlig och efterföljande anmälan och rapportering.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, de klassificeringskriterier som har lett till att den IKT-relaterade incidenten har fastställts som allvarlig för minst en finansiell entitet.

• Berörda kunder, finansiella motparter och transaktioner,

• Påverkan på anseendet,

• Varaktighet och driftstopp,

• Geografisk spridning,

• Dataförluster,

• Berörda kritiska tjänster,

• Ekonomiska effekter.

EES-medlemsstater som berörs av den allvarliga IKT-relaterade incidenten

Vid bedömningen av effekterna av den allvarliga IKT-relaterade incidenten i andra medlemsstater ska de finansiella entiteterna beakta artiklarna 4 och 12 i delegerad förordning (EU) 2024/1772.

• It-säkerhet,

• Personal,

• Internrevision,

• Extern revision,

• Kunder,

• Finansiella motparter,

• Tredjepartsleverantör,

• Angriparen,

• Övervakningssystem,

• Myndighet/organ/brottsbekämpande organ,

• Annat.

Indikation om huruvida den allvarliga IKT-relaterade incidenten har sitt ursprung hos en tredjepartsleverantör eller en annan finansiell entitet.

Finansiella entiteter ska ange om den allvarliga IKT-relaterade incidenten har sitt ursprung hos en tredjepartsleverantör eller en annan finansiell entitet (inklusive finansiella entiteter som tillhör samma koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU. som den rapporterande entiteten) och tredjepartsleverantörens eller den finansiella entitetens namn, identifieringskod och typ av identifieringskod (t.ex. LEI-kod eller EUID).

Ytterligare information som inte ingår i mallen.

Finansiella entiteter som har omklassificerat en allvarlig IKT-relaterad incidenten IKT-relaterad incident som har stor negativ inverkan på nätverks- och informationssystem som stöder den finansiella entitetens kritiska eller viktiga funktioner. som icke-allvarlig ska beskriva skälen till att den IKT-relaterade incidenten inte uppfyller, och inte förväntas uppfylla, kriterierna för att betraktas som en allvarlig IKT-relaterad incidenten IKT-relaterad incident som har stor negativ inverkan på nätverks- och informationssystem som stöder den finansiella entitetens kritiska eller viktiga funktioner..

Datum och tidpunkt då den allvarliga IKT-relaterade incidenten inträffade, om tidpunkten skiljer sig från den tidpunkt då den finansiella entiteten fick kännedom om den allvarliga IKT-relaterade incidenten.

För återkommande allvarliga IKT-relaterade incidenter, det datum och den tidpunkt då den senaste allvarliga IKT-relaterade incidenten inträffade.

Antal kunder som berörs av den allvarliga IKT-relaterade incidenten som använder den tjänst som tillhandahålls av den finansiella entiteten.

Vid bedömningen av antalet berörda kunder ska de finansiella entiteterna beakta artiklarna 1.1 och 9.1 b i delegerad förordning (EU) 2024/1772. En finansiell entitet som inte kan fastställa det faktiska antal kunder som berörs ska använda uppskattningar baserade på tillgängliga uppgifter från jämförbara referensperioder.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, det totala antalet kunder som berörs hos alla finansiella entiteter.

Andel kunder som berörs av den allvarliga IKT-relaterade incidenten i förhållande till det totala antalet kunder som använder den berörda tjänst som tillhandahålls av den finansiella entiteten. Om mer än en tjänst berörs ska tjänsterna anges på ett aggregerat sätt.

Finansiella entiteter ska vid sin bedömning beakta artiklarna 1.1 och 9.1 a i delegerad förordning (EU) 2024/1772.

En finansiell entitet som inte kan fastställa den faktiska andel kunder som berörs ska använda uppskattningar baserade på tillgängliga uppgifter från jämförbara referensperioder.

Vid aggregerad rapportering enligt artikel 7 i denna förordning ska en finansiell entitet dividera summan av alla berörda kunder med det totala antalet kunder hos alla berörda finansiella entiteter.

Antal finansiella motparter som berörs av den allvarliga IKT-relaterade incidenten och som har ingått ett avtal med den finansiella entiteten.

Vid bedömningen av antalet berörda finansiella motparter ska de finansiella entiteterna beakta artikel 1.2 i delegerad förordning (EU) 2024/1772. En finansiell entitet som inte kan fastställa det faktiska antal finansiella motparter som berörs ska använda uppskattningar baserade på tillgängliga uppgifter från jämförbara referensperioder.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, det totala antalet finansiella motparter som berörs hos alla finansiella entiteter.

Andelen finansiella motparter som berörs av den allvarliga IKT-relaterade incidenten i förhållande till det totala antalet finansiella motparter som har ingått ett avtal med den finansiella entiteten.

Vid bedömningen av andelen berörda finansiella motparter ska de finansiella entiteterna beakta artiklarna 1.1 och 9.1 c i delegerad förordning (EU) 2024/1772.

En finansiell entitet som inte kan fastställa den faktiska andel finansiella motparter som berörs ska använda uppskattningar baserade på tillgängliga uppgifter från jämförbara referensperioder.

Vid aggregerad rapportering enligt artikel 7 i denna förordning ska summan av alla berörda finansiella motparter dividerat med det totala antalet finansiella motparter hos alla berörda finansiella entiteter anges.

Antal transaktioner som berörs av den allvarliga IKT-relaterade incidenten.

Vid bedömningen av effekterna på transaktioner ska de finansiella entiteterna beakta artikel 1.4 i delegerad förordning (EU) 2024/1772, inbegripet alla berörda inhemska och gränsöverskridande transaktioner som avser ett penningbelopp där minst en del av transaktionen genomförs i unionen.

En finansiell entitet som inte kan fastställa det faktiska antal transaktioner som berörs ska använda uppskattningar baserade på tillgängliga uppgifter från jämförbara referensperioder.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, ange det totala antalet transaktioner som berörs hos alla finansiella entiteter.

Andelen berörda transaktioner i förhållande till det dagliga genomsnittliga antalet inhemska och gränsöverskridande transaktioner som genomförs av den finansiella entiteten med anknytning till den berörda tjänsten.

De finansiella entiteterna ska beakta artiklarna 1.4 och 9.1 d i delegerad förordning (EU) 2024/1772.

En finansiell entitet som inte kan fastställa den faktiska procentandelen av de transaktioner som berörs ska använda uppskattningar.

Vid aggregerad rapportering enligt artikel 7 i denna förordning ska en finansiell entitet summera antalet berörda transaktioner och dividera summan med det totala antalet transaktioner hos alla berörda finansiella entiteter.

Det totala värdet av de transaktioner som berörs av den allvarliga IKT-relaterade incidenten ska bedömas i enlighet med artiklarna 1.4 och 9.1 e i delegerad förordning (EU) 2024/1772.

En finansiell entitet som inte kan fastställa det faktiska värdet av de transaktioner som berörs ska använda uppskattningar baserade på tillgängliga uppgifter från jämförbara referensperioder.

En finansiell entitet ska redovisa det monetära beloppet som ett positivt värde.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, det totala värdet av de transaktioner som berörs hos alla finansiella entiteter.

Monetärt värde

Finansiella entiteter ska rapportera datapunkten i enheter med en minsta noggrannhet motsvarande tusentals enheter (t.ex. 2,5 i stället för2 500 euro).

• Faktiska siffror för berörda kunder,

• Faktiska siffror för berörda finansiella motparter,

• Faktiska siffror för berörda transaktioner,

• Uppskattningar för berörda kunder,

• Uppskattningar för berörda finansiella motparter,

• Uppskattningar för berörda transaktioner,

• Ingen påverkan på kunder,

• Ingen påverkan på finansiella motparter,

• Ingen påverkan på transaktioner.

Information om påverkan på anseendet till följd av den allvarliga IKT-relaterade incidenten enligt artiklarna 2 och 10 i delegerad förordning (EU) 2024/1772.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, de kategorier för påverkan på anseendet som gäller för minst en finansiell entitet.

• Den allvarliga IKT-relaterade incidenten har tagits upp i medierna,

• Den allvarliga IKT-relaterade incidenten har lett till upprepade klagomål från olika kunder eller finansiella motparter om tjänster riktade mot kunder eller kritiska affärsförbindelser,

• Den finansiella entiteten kommer inte att kunna eller kommer sannolikt inte att kunna uppfylla lagstadgade krav till följd av den allvarliga IKT-relaterade incidenten,

• Den finansiella entiteten kommer att eller kommer sannolikt att förlora kunder eller finansiella motparter med en väsentlig inverkan på dess verksamhet till följd av den allvarliga IKT-relaterade incidenten.

Information om hur den allvarliga IKT-relaterade incidenten har påverkat eller skulle kunna påverka den finansiella entitetens anseende, inbegripet överträdelser av lag, lagstadgade krav som inte uppfyllts, antalet kundklagomål osv.

Bakgrundsinformationen ska omfatta typen av medier (t.ex. traditionella och digitala medier, bloggar eller strömningsplattformar) och medietäckning, inbegripet mediernas räckvidd (lokal, nationell eller internationell). Medietäckning ska i detta sammanhang inte innebära några få negativa kommentarer från följare eller användare av sociala nätverk.

Den finansiella entiteten ska också ange om medietäckningen belyste betydande risker för dess kunder i samband med den allvarliga IKT-relaterade incidenten, inbegripet risken för den finansiella entitetens insolvens eller risken för förlust av medel.

Finansiella entiteter ska också ange om de har lämnat information till medier som på ett tillförlitligt sätt har informerat allmänheten om den allvarliga IKT-relaterade incidenten och dess konsekvenser.

Finansiella entiteter får också ange om det förekom felaktig information i medierna i samband med den IKT-relaterade incidenten, inbegripet information baserad på avsiktligt felaktig information som spreds genom fientliga aktörer, eller information som rör eller visar på förvanskning av den finansiella entitetens webbplats.

Finansiella entiteter ska mäta varaktigheten för den allvarliga IKT-relaterade incidenten från den tidpunkt då den allvarliga IKT-relaterade incidenten inträffade till den tidpunkt då incidenten åtgärdades.

Finansiella entiteter som inte kan fastställa tidpunkten för den allvarliga IKT-relaterade incidenten ska mäta varaktigheten för den allvarliga IKT-relaterade incidenten från den tidigare av den tidpunkt då den finansiella entiteten upptäckte incidenten och den tidpunkt då den finansiella entiteten registrerade incidenten i nätverks- eller systemloggar eller andra datakällor. Finansiella entiteter som ännu inte vet när den allvarliga IKT-relaterade incidenten kommer att åtgärdas ska göra uppskattningar. Värdet ska uttryckas i dagar, timmar och minuter.

När det gäller aggregerad rapportering enligt artikel 7 i denna förordning ska finansiella entiteter mäta den längsta varaktigheten för den allvarliga IKT-relaterade incidenten om det förekommer skillnader mellan finansiella entiteter.

Driftstopp mätt från den tidpunkt då tjänsten är helt eller delvis otillgänglig för kunder, finansiella motparter eller andra interna eller externa användare till den tidpunkt då den reguljära verksamheten eller verksamheten har återställts till den servicenivå som tillhandahölls före den allvarliga IKT-relaterade incidenten.

Om driftstopp orsakar förseningar i tillhandahållandet av tjänster efter det att den reguljära verksamheten eller verksamheten har återställts, ska de finansiella entiteterna mäta driftstoppet från början av den allvarliga IKT-relaterade incidenten till den tidpunkt då den försenade tjänsten tillhandahålls. Finansiella entiteter som inte kan fastställa den tidpunkt då driftstoppet inleddes ska mäta driftstoppet från den tidigare tidpunkten av den tidpunkt då incidenten upptäcktes och den tidpunkt då den registrerades.

Vid aggregerad rapportering enligt artikel 7 i denna förordning ska finansiella entiteter mäta den längsta varaktigheten för driftstoppet om det förekommer skillnader mellan finansiella entiteter.

• Faktiska siffror,

• Uppskattningar,

• Faktiska siffror och uppskattningar,

• Information saknas.

Typer av effekter i respektive EES-medlemsstat.

• drabbade kunder och finansiella motparter i andra medlemsstater, eller

• filialer eller andra finansiella entiteter inom koncernen som bedriver verksamhet i andra medlemsstater, eller

• finansmarknadsinfrastrukturer eller tredjepartsleverantörer som kan påverka finansiella entiteter i andra medlemsstater som de tillhandahåller tjänster till.

• Kunder,

• Finansiella motparter,

• Den finansiella entitetens filial,

• Finansiella entiteter inom koncernen som bedriver verksamhet i respektive medlemsstat,

• Finansmarknadsinfrastruktur,

• Tredjepartsleverantörer som kan vara gemensamma för andra finansiella entiteter.

• kunder,

• finansiella motparter,

• den finansiella entitetens filialer,

• andra finansiella entiteter inom koncernen som bedriver verksamhet i respektive medlemsstat,

• finansmarknadsinfrastrukturer,

• tredjepartsleverantörer som kan vara gemensamma för andra finansiella entiteter enligt vad som är tillämpligt i andra medlemsstater.

Typer av dataförluster som den allvarliga IKT-relaterade incidenten medför i förhållande till uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet.

Finansiella entiteter ska vid sin bedömning beakta artiklarna 5 och 13 i delegerad förordning (EU) 2024/1772.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, de dataförluster som drabbar minst en finansiell entitet.

• Tillgänglighet,

• Äkthet,

• Integritet,

• Konfidentialitet.

Beskrivning av hur den allvarliga IKT-relaterade incidenten påverkar tillgängligheten, äktheten, integriteten och konfidentialiteten för kritiska uppgifter i enlighet med artiklarna 5 och 13 i delegerad förordning (EU) 2024/1772.

Information om påverkan på genomförandet av den finansiella entitetens affärsmål eller på uppfyllandet av lagstadgade krav.

Som en del av den information som lämnas ska de finansiella entiteterna ange om de berörda uppgifterna är kunduppgifter, andra entiteters uppgifter (t.ex. finansiella motparter) eller den finansiella entitetens uppgifter.

Den finansiella entiteten får också ange vilken typ av uppgifter som berörs av incidenten – i synnerhet huruvida uppgifterna är konfidentiella och vilken typ av konfidentialitet det rörde sig om (t.ex. affärshemligheter, personuppgifter, tystnadsplikt, banksekretess, försäkringssekretess, betaltjänstsekretess osv.).

Informationen kan också omfatta möjliga risker i samband med dataförluster, t.ex. huruvida de uppgifter som berörs av incidenten kan användas för att identifiera enskilda personer och skulle kunna användas av den fientliga aktören för att erhålla krediter eller lån utan deras samtycke, för att utföra nätfiskeattacker eller för att offentliggöra information.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, en allmän beskrivning av incidentens effekter på de berörda finansiella entiteterna. Om effekterna skiljer sig åt ska den specifika effekten på de olika finansiella entiteterna tydligt anges i beskrivningen av effekterna.

Information om kriteriet Berörda kritiska tjänster.

• de berörda tjänster eller verksamheter som kräver auktorisation eller registrering eller som övervakas av behöriga myndigheter, eller

• IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. eller nätverks- och informationssystemett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555. som stöder kritiska eller viktiga funktioner hos den finansiella entiteten, och

• karaktären hos den skadliga och obehöriga åtkomsten till den finansiella entitetens nätverks- och informationssystemett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555..

Vid aggregerad rapportering enligt artikel 7 i denna förordning, effekten på kritiska tjänster som gäller för minst en finansiell entitet.

• Cybersäkerhetsrelaterade,

• Processfel,

• Systemfel,

• Extern händelse,

• Betalningsrelaterad,

• Annan (precisera).

• social manipulering, inklusive nätfiske,

• samordnad överbelastningsattack,

• identitetsstöld,

• datakryptering för påverkan, inklusive utpressningsprogram,

• kapning av resurser,

• dataexfiltrering och datamanipulation, med undantag för identitetsstöld,

• förstöring av data,

• förvanskning,

• attack mot leveranskedjan,

• övrigt (specificera).

• Social manipulering (inklusive nätfiske),

• Samordnad överbelastningsattack,

• Identitetsstöld,

• Datakryptering för påverkan, inklusive utpressningsprogram,

• Kapning av resurser,

• Dataexfiltrering och datamanipulation, inbegripet identitetsstöld,

• Förstöring av data,

• Förvanskning,

• Attack mot leveranskedjan,

• Annat (specificera).

Andra typer av tillvägagångssätt

Finansiella entiteter som har valt ”annan” typ av tillvägagångssätt i datafält 3.25 ska ange vilken typ av tillvägagångssätt det rör sig om.

Angivelse av de funktionella områden och affärsprocesser som påverkas av incidenten, inklusive produkter och tjänster.

• Marknadsföring och affärsutveckling.

• Kundtjänst.

• Produktförvaltning.

• Regelefterlevnad.

• Riskhantering.

• Finansiering och redovisning.

• HR och allmänna tjänster.

• Informationsteknik.

• Kontoinformation,

• Aktuarietjänster,

• Inlösen av betalningstransaktioner,

• Autentisering/auktorisering,

• Bemyndigande,

• Introduktion av kund,

• Förmånsförvaltning,

• Hantering av utbetalning av förmåner,

• Köp och försäljning av försäkringspaket mellan försäkringar,

• Kortbetalningar,

• Kontanthantering,

• Kontantplacering eller kontantuttag,

• Hantering av försäkringsanspråk,

• Försäkring för skadeståndsprocesser,

• Clearing,

• Konglomerat för företagslån,

• Kollektiva försäkringar,

• Betalningar,

• Förvaltning och förvaring av tillgångar,

• Introduktion av kunder,

• Datainsamling,

• Databehandling,

• Autogirering,

• Exportförsäkringar,

• Genomförande av handel på börser,

• Placering av finansiella instrument,

• Fondredovisning,

• Pengar på valutamarknad,

• Investeringsrådgivning,

• Investeringsförvaltning,

• Utgivande av betalningsinstrument,

• Låneförvaltning,

• Utbetalning av livförsäkring,

• Penningöverföring,

• Beräkning av nettotillgångar,

• Beställning,

• Betalningsinitiering,

• Tecknande av försäkringar,

• Portföljförvaltning,

• Uppbörd av premier,

• Mottagning/överföring/utförande,

• Återförsäkring,

• Avveckling,

• Transaktionsövervakning.

Vid aggregerad rapportering enligt artikel 7 i denna förordning, de drabbade funktionella områden och affärsprocesser inom minst en finansiell entitet.

• Ja,

• Nej,

• Information saknas.

Beskrivning av den allvarliga IKT-relaterade incidentens effekter på infrastrukturkomponenter som stöder affärsprocesser, inbegripet maskinvara och programvara.

• versionsinformation,

• intern infrastruktur/delvis utkontrakterad/helt utkontrakterad – tredjepartsleverantörens namn,

• huruvida infrastrukturen används av eller är delad mellan flera affärsfunktioner,

• relevanta arrangemang för motståndskraft/kontinuitet/återhämtning/utbytbarhet.

• Ja,

• Nej,

• Information saknas.

Närmare uppgifter om vilka myndigheter som informerades om den allvarliga IKT-relaterade incidenten.

Med hänsyn till skillnaderna till följd av medlemsstaternas nationella lagstiftning ska finansiella entiteter förstå begreppet brottsbekämpande myndigheter i stort sett som offentliga myndigheter som har befogenhet att lagföra it-brottslighet, inbegripet polis, brottsbekämpande organ och allmänna åklagare.

• Polis/brottsbekämpande organ,

• CSIRT,

• Dataskyddsmyndighet,

• Nationella cybersäkerhetsbyrån,

• Inga,

• Annan (förklara närmare).

Närmare uppgifter om ”annan” typ av myndigheter som informerades om den allvarliga IKT-relaterade incidenten.

Om detta har valts i datafält 3.31. ”Annan” – beskrivningen ska innehålla mer detaljerad information om den myndighet till vilken den finansiella entiteten har lämnat information om den allvarliga IKT-relaterade incidenten.

Informationen ska beskriva de omedelbara åtgärder som har vidtagits, inbegripet isolering av incidenten på nätverksnivå, aktiverade förfaranden för tillfälliga lösningar, blockerade USB-portar, aktiverad plats för katastrofåterhämtning och eventuella andra ytterligare säkerhetsåtgärder som har införts tillfälligt.

Finansiella entiteter ska ange datum och tidpunkt för genomförandet av de tillfälliga åtgärderna och det datum då man förväntas återgå till den primära platsen. För alla tillfälliga åtgärder som inte har genomförts men som fortfarande planeras, ange det datum då de förväntas genomföras.

Om inga tillfälliga åtgärder har vidtagits, ange orsaken.

Information om den allvarliga IKT-relaterade incidenten som kan bidra till att identifiera skadlig aktivitet inom ett nätverks- eller informationssystem (angreppsindikatorer), i tillämpliga fall.

Fältet gäller endast de finansiella entiteter som omfattas av Europaparlamentets och rådets direktiv (EU) 2022/2555(¹)Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj). och de finansiella entiteter som betraktas som väsentliga eller viktiga entiteter i enlighet med nationella bestämmelser som införlivar artikel 3 i direktiv (EU) 2022/2555, i förekommande fall.

• IP-adresser.

• URL-adresser.

• Domäner.

• Filhashar.

• Uppgifter om sabotageprogram (namn på sabotageprogram, filnamn och var de finns, specifika registernycklar som är kopplade till aktivitet som rör sabotageprogram).

• Uppgifter om nätverksaktivitet (portar, protokoll, adresser, referenser, användaragenter, rubriker, specifika loggar eller distinkta mönster i nätverkstrafiken).

• Uppgifter om e-postmeddelanden (avsändare, mottagare, ämne, rubrik, innehåll).

• DNS-begäranden och registerkonfigurationer.

• Aktiviteter på användarkonton (inloggningar, aktivitet på privilegierade användarkonton, eskalering av privilegier).

• Databastrafik (läsa/skriva), begäranden avseende samma fil.

I praktiken kan denna typ av information omfatta data som avser bland annat indikatorer som beskriver mönster i nätverkstrafik som motsvarar kända attacker/botnätmeddelanden, IP-adresser för maskiner som är infekterade med sabotageprogram (botar), data som avser ledningsservrar som används av sabotageprogram (vanligen domäner eller IP-adresser) och URL:er som avser platser för nätfiske eller webbplatser som observerats som värdar för sabotageprogram eller exploateringsverktyg.

• Illvilliga handlingar.

• Processfel.

• Systemfel/felfunktion.

• Mänskligt fel.

• Extern händelse.

• Illvilliga handlingar,

• Processfel,

• Systemfel/felfunktion,

• Mänskligt fel,

• Extern händelse.

• Illvilliga handlingar (om du väljer detta alternativ ska du välja något av alternativen nedan):

  • Avsiktliga interna åtgärder.

  • Avsiktlig fysisk skada/manipulering/stöld.

  • Bedrägeri.

• Processfel (om du väljer detta alternativ ska du välja något av alternativen nedan):

  • Otillräcklig övervakning eller bristande övervakning och kontroll.

  • Otillräckliga/otydliga roller och ansvarsområden.

  • Misslyckad IKT-riskhanteringsprocess.

  • Otillräckliga eller bristfälliga IKT-åtgärder och IKT-säkerhetsåtgärder.

  • Otillräcklig eller bristfällig IKT-projektledning.

  • Inadekvata interna riktlinjer och förfaranden samt inadekvat dokumentation.

  • Inadekvat förvärv, utveckling eller underhåll av IKT-system.

  • Övrigt (specificera).

• Systemfel/felfunktion (om du väljer detta alternativ ska du välja något av alternativen nedan):

  • Maskinvarans kapacitet och prestanda: Allvarliga IKT-relaterade incidenter orsakade av maskinvaruresurser som visar sig vara otillräckliga i fråga om kapacitet eller prestanda för att uppfylla tillämpliga lagstiftningskrav.

  • Maskinvaruunderhåll: Allvarliga IKT-relaterade incidenter till följd av inadekvat eller otillräckligt underhåll av maskinvarukomponenter, med undantag för ”Föråldrad/åldrande maskinvara”.

  • Föråldrad/åldrande maskinvara: Denna typ av grundläggande orsaker inbegriper allvarliga IKT-relaterade incidenter till följd av föråldrade eller åldrande maskinvarukomponenter.

  • Programvarans kompatibilitet/konfiguration: Allvarliga IKT-relaterade incidenter som orsakas av programvarukomponenter som är inkompatibla med andra programvaru- eller systemkonfigurationer, inbegripet allvarliga IKT-relaterade incidenter till följd av programvarukonflikter, felaktiga inställningar eller felkonfigurerade parametrar som påverkar systemets övergripande funktion.

  • Programvarans prestanda: Allvarliga IKT-relaterade incidenter till följd av programvarukomponenter som uppvisar bristande prestanda eller ineffektivitet av andra skäl än de som anges under ”Programvarans kompatibilitet/konfiguration”, inbegripet allvarliga IKT-relaterade incidenter som orsakas av långsamma svarstider, överdriven resursförbrukning eller ineffektiva frågekörningar som påverkar programvarans eller systemets prestanda.

  • Nätverkskonfiguration: Allvarliga IKT-relaterade incidenter till följd av felaktiga eller felkonfigurerade nätverksinställningar eller felaktig eller felkonfigurerad nätverksinfrastruktur, inbegripet allvarliga IKT-relaterade incidenter som orsakas av fel i nätverkskonfigurationen, routningsproblem, felkonfigurering av brandväggar eller andra nätverksrelaterade problem som påverkar anslutning eller kommunikation.

  • Fysisk skada: Allvarliga IKT-relaterade incidenter som orsakas av fysisk skada på IKT-infrastrukturen vilket leder till systemfel.

  • Annan (specificera).

• Mänskligt fel (om du väljer detta alternativ ska du välja något av alternativen nedan):

  • Underlåtenhet (oavsiktlig).

  • Misstag.

  • Färdigheter och kunskap: Allvarliga IKT-relaterade incidenter till följd av bristande sakkunskap eller kompetens inom hantering av IKT-system eller IKT-processer som kan orsakas av bristfällig utbildning, otillräcklig kunskap eller brist på färdigheter som krävs för att utföra specifika uppgifter eller hantera tekniska utmaningar.

  • Otillräckliga mänskliga resurser: Allvarliga IKT-relaterade incidenter som orsakas av brist på nödvändiga resurser, inbegripet maskinvara, programvara, infrastruktur eller personal, och i situationer där otillräckliga resurser leder till operativ ineffektivitet, systemfel eller oförmåga att tillgodose affärsbehov.

  • Felaktig kommunikation.

  • Övrigt (specificera).

• Extern händelse (om du väljer detta alternativ ska du välja något av alternativen nedan):

  • Naturkatastrofer/force majeure.

  • Fel som rör tredje part.

  • Övrigt (specificera).

De finansiella entiteterna ska när det gäller återkommande allvarliga IKT-relaterade incidenter ta hänsyn till att den specifika uppenbara grundläggande orsaken till incidenten beaktas och inte de allmänna kategorierna i detta fält.

• Illvilliga handlingar: avsiktliga interna åtgärder,

• Illvilliga handlingar: Avsiktlig fysisk skada/manipulering/stöld,

• Illvilliga handlingar: bedrägeri,

• Processfel: otillräcklig övervakning eller bristande övervakning och kontroll,

• Processfel: otillräckliga/otydliga roller och ansvarsområden,

• Processfel: misslyckad IKT-riskhanteringsprocess,

• Processfel: otillräckliga eller bristfälliga IKT-åtgärder och IKT-säkerhetsåtgärder,

• Processfel: otillräcklig eller bristfällig IKT-projektledning,

• Processfel: inadekvata interna riktlinjer och förfaranden samt inadekvat dokumentation,

• Processfel: inadekvat förvärv, utveckling och underhåll av IKT-system,

• Processfel: annat (specificera),

• Systemfel: maskinvarans kapacitet och prestanda,

• Systemfel: maskinvaruunderhåll,

• Systemfel: föråldrad/åldrande maskinvara,

• Systemfel: programvarans kompatibilitet/konfiguration,

• Systemfel: programvarans prestanda,

• Systemfel: nätverkskonfiguration,

• Systemfel: fysisk skada,

• Systemfel: annat (specificera),

• Mänskligt fel: underlåtenhet,

• Mänskligt fel: misstag,

• Mänskligt fel: färdigheter och kunskaper,

• Mänskligt fel: otillräckliga mänskliga resurser,

• Mänskligt fel: felaktig kommunikation,

• Mänskligt fel: annat (specificera),

• Extern händelse: naturkatastrofer/force majeure,

• Extern händelse: fel som rör tredje part,

• Extern händelse: annan (specificera).

Ytterligare klassificering av de grundläggande orsakerna till den allvarliga IKT-relaterade incidenten inom ramen för incidenttypen, inbegripet följande ytterligare klassificeringskategorier med koppling till de detaljerade kategorier som ska rapporteras i datafält 4.2.

• a Otillräcklig eller bristande övervakning och kontroll:

  • Övervakning av efterlevnaden av bestämmelser,

  • Övervakning av tredjepartsleverantörer av tjänster,

  • Övervakning och kontroll av avhjälpandet av sårbarheter,

  • Identitets- och åtkomsthantering,

  • Kryptering och kryptografi,

  • Loggning.

• c Misslyckad IKT-riskhanteringsprocess:

  • Underlåtenhet att specificera korrekta risktoleransnivåer,

  • Otillräckliga sårbarhets- och hotbedömningar,

  • Otillräckliga riskhanteringsåtgärder,

  • Bristfällig hantering av kvarstående IKT-risker.

• d Otillräckliga eller bristfälliga IKT-åtgärder och IKT-säkerhetsåtgärder:

  • Hantering av sårbarheter och programfixar,

  • Hantering av förändringar,

  • Kapacitets- och prestandahantering,

  • Förvaltning av IKT-tillgångar och klassificering av information,

  • Säkerhetskopiering och återställning,

  • Felhantering.

• g Inadekvat förvärv, utveckling och underhåll av IKT-system:

  • Inadekvat förvärv, utveckling och underhåll av IKT-system,

  • Otillräcklig programvarutestning eller misslyckad programvarutestning.

• Övervakning av efterlevnaden av bestämmelser,

• Övervakning av tredjepartsleverantörer av tjänster,

• Övervakning och kontroll av avhjälpandet av sårbarheter,

• Identitets- och åtkomsthantering,

• Kryptering och kryptografi,

• Loggning,

• Underlåtenhet att specificera korrekta risktoleransnivåer,

• Otillräckliga sårbarhets- och hotbedömningar,

• Otillräckliga riskhanteringsåtgärder,

• Bristfällig hantering av kvarstående IKT-risker,

• Hantering av sårbarheter och programfixar,

• Hantering av förändringar,

• Kapacitets- och prestandahantering,

• Förvaltning av IKT-tillgångar och klassificering av information,

• Säkerhetskopiering och återställning,

• Felhantering,

• Inadekvat förvärv, utveckling och underhåll av IKT-system,

• Otillräcklig eller misslyckad programvarutestning.

Beskrivning av det händelseförlopp som ledde till den allvarliga IKT-relaterade incidenten och en beskrivning av på vilket sätt den allvarliga IKT-relaterade incidenten har en liknande uppenbar grundläggande orsak om incidenten klassificeras som en återkommande incident, inklusive en kortfattad beskrivning av alla underliggande orsaker och primära faktorer som bidrog till att den allvarliga IKT-relaterade incidenten inträffade.

Om det har förekommit illvilliga handlingar, en beskrivning av tillvägagångssättet för de illvilliga handlingarna, inbegripet den metod, det tillvägagångssätt och de förfaranden som har använts, samt ingångsvektorn för den allvarliga IKT-relaterade incidenten, inbegripet en beskrivning av de utredningar och analyser som ledde till att de grundläggande orsakerna fastställdes, i tillämpliga fall.

Ytterligare information om de åtgärder som vidtagits/planerats för att permanent lösa den allvarliga IKT-relaterade incidenten och för att förhindra att incidenten inträffar igen.

Lärdomar från den allvarliga IKT-relaterade incidenten.

• Beskrivning av hur incidenten åtgärdats

  • Åtgärder som vidtagits för att permanent åtgärda den allvarliga IKT-relaterade incidenten (exklusive eventuella tillfälliga åtgärder),

  • För varje åtgärd som vidtagits ska man ange om en tredjepartsleverantör och den finansiella entiteten har deltagit,

  • Ange om förfarandena har anpassats till följd av den allvarliga IKT-relaterade incidenten,

  • Ange eventuella ytterligare kontroller som har införts eller som planeras med tillhörande tidsplan för genomförandet.

  Potentiella problem som identifierats med avseende på tillförlitligheten hos de it-system som påverkats eller med avseende på de förfaranden eller kontroller som finns, i tillämpliga fall.

  De finansiella entiteterna ska tydligt ange hur de planerade avhjälpande åtgärderna kommer att hantera de identifierade grundläggande orsakerna och när den allvarliga IKT-relaterade incidenten förväntas ha åtgärdats permanent.

• Lärdomar

  Finansiella entiteter ska beskriva resultaten av översynen efter incidenten.

Bedömning av huruvida den allvarliga IKT-relaterade incidenten utgör en risk för kritiska funktioner i den mening som avses i artikel 2.1.35 i Europaparlamentets och rådets direktiv 2014/59/EU(²)Europaparlamentets och rådets direktiv 2014/59/EU av den 15 maj 2014 om inrättande av en ram för återhämtning och resolution av kreditinstitut och värdepappersföretag och om ändring av rådets direktiv 82/891/EEG och Europaparlamentets och rådets direktiv 2001/24/EG, 2002/47/EG, 2004/25/EG, 2005/56/EG, 2007/36/EG, 2011/35/EU, 2012/30/EU och 2013/36/EU samt Europaparlamentets och rådets förordningar (EU) nr 1093/2010 och (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 190, ELI: http://data.europa.eu/eli/dir/2014/59/oj)..

Entiteter som avses i artikel 1.1 i direktiv 2014/59/EU ska ange om incidenten utgör en risk för kritiska funktioner i den mening som avses i artikel 2.1.35 i direktiv 2014/59/EU och som rapporteras i mall Z07.01 i kommissionens genomförandeförordning (EU) 2018/1624(³)Kommissionens genomförandeförordning (EU) 2018/1624 av den 23 oktober 2018 om fastställande i enlighet med Europaparlamentets och rådets direktiv 2014/59/EU av tekniska genomförandestandarder när det gäller förfaranden, standardformulär och mallar för den information som ska lämnas för upprättandet av resolutionsplaner för kreditinstitut och värdepappersföretag, och om upphävande av kommissionens genomförandeförordning (EU) 2016/1066 (EUT L 277, 7.11.2018, s. 1, ELI: http://data.europa.eu/eli/reg_impl/2018/1624/oj). och kopplas till den specifika entiteten i mall Z07.02.

Beskrivning av huruvida och i så fall hur den allvarliga IKT-relaterade incidenten har påverkat entitetens eller koncernens möjligheter till resolution.

Entiteter som avses i artikel 1.1 i direktiv 2014/59/EU ska lämna information om huruvida och i så fall hur den allvarliga IKT-relaterade incidenten har påverkat entitetens eller koncernens möjligheter till resolution.

Dessa entiteter ska också ange om den allvarliga IKT-relaterade incidenten påverkar den finansiella entitetens solvens eller likviditet och en potentiell kvantifiering av effekterna.

Dessa entiteter ska också tillhandahålla information om inverkan på den operativa kontinuiteten, inverkan på entitetens resolutionsförmåga, eventuella ytterligare effekter på kostnader och förluster till följd av den allvarliga IKT-relaterade incidenten, inbegripet på den finansiella entitetens kapitalposition, och huruvida avtalsarrangemangen för användningen av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. fortfarande är stabila och fullt verkställbara vid resolution av entiteten.

• det belopp av exproprierade medel eller finansiella tillgångar som den finansiella entiteten är ansvarig för,

• kostnader för ersättning eller omplacering av programvara, maskinvara eller infrastruktur,

• personalkostnader, inbegripet kostnader för att byta ut, omplacera eller anställa extra personal, ersättning för övertid och ersättning av förlorad eller försämrad kompetens hos personalen,

• beloppet för avgifter på grund av avtalsförpliktelser som inte har fullgjorts,

• kostnaderna för gottgörelse av och kompensation för kunder,

• förlustbelopp på grund av uteblivna intäkter,

• kostnader i samband med intern och extern kommunikation,

• rådgivningskostnader, inklusive kostnader i samband med juridisk rådgivning, kriminaltekniska tjänster och saneringstjänster,

• övriga kostnader och förluster, inbegripet

  • direkta avgifter, inklusive värdeminskningar och avvecklingskostnader, som redovisas i resultaträkningen och nedskrivningar till följd av den allvarliga IKT-relaterade incidenten,

  • avsättningar eller reserver som redovisas i resultaträkningen mot sannolika förluster i samband med den allvarliga IKT-relaterade incidenten,

  • förluster som ännu inte har beaktats, vilka utgörs av förluster till följd av den allvarliga IKT-relaterad incidenten som tillfälligt redovisas på övergångskonton eller interimskonton och ännu inte är redovisade i resultaträkningen, men som avses föras upp inom en tidsperiod som är i proportion till postens storlek och ålder,

  • väsentliga icke uppburna intäkter som är kopplade till avtalsenliga förpliktelser mot tredje part, däribland ett beslut att kompensera en kund till följd av den allvarliga IKT-relaterade incidenten – i stället för genom återbetalning eller direkt utbetalning – genom att avstå från justering av intäkter eller genom att sänka avtalsenliga avgifter för en viss framtida tidsperiod,

  • periodrelaterade förluster, om de sträcker sig över mer än ett räkenskapsår och leder till rättslig risk.

Finansiella entiteter ska vid sin bedömning beakta artikel 7.1 och 7.2 i delegerad förordning (EU) 2024/1772. Finansiella entiteter ska i denna uppgift inte ta med någon typ av finansiella återkrav.

Finansiella entiteter ska redovisa det monetära beloppet som ett positivt värde.

Vid aggregerad rapportering enligt artikel 7 i denna förordning ska de finansiella entiteterna beakta de totala kostnaderna och förlusterna för alla finansiella entiteter.

Finansiella entiteter ska rapportera datapunkten i enheter med en minsta noggrannhet motsvarande tusentals enheter.

Totalt belopp för finansiella återkrav.

Finansiella återkrav ska täcka den ursprungliga förlust som händelsen orsakade, skild från den tidpunkt då finansiella återkrav i form av tillgångar eller inflöden av ekonomiska förmåner erhålls.

Finansiella entiteter ska redovisa det monetära beloppet som ett positivt värde.

Vid aggregerad rapportering enligt artikel 7 i denna förordning ska de finansiella entiteterna beakta det totala beloppet för finansiella återkrav för alla finansiella entiteter.

Monetärt värde

Finansiella entiteter ska rapportera datapunkten i enheter med en minsta noggrannhet motsvarande tusentals enheter.

Information om huruvida mer än en icke-allvarlig IKT-relaterad incidenten enskild händelse eller en serie sammankopplade händelser som inte planerats av den finansiella entiteten och som äventyrar säkerheten i nätverks- och informationssystemen och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller datan eller de tjänster som tillhandahålls av den finansiella entiteten. har varit återkommande och tillsammans betraktas som en allvarlig incident i den mening som avses i artikel 8.2 i delegerad förordning (EU) 2024/1772.

Finansiella entiteter ska ange om de icke-allvarliga IKT-relaterade incidenterna har varit återkommande och tillsammans betraktas som en allvarlig IKT-relaterad incidenten IKT-relaterad incident som har stor negativ inverkan på nätverks- och informationssystem som stöder den finansiella entitetens kritiska eller viktiga funktioner..

Finansiella entiteter ska också ange antalet fall av sådana icke-allvarliga IKT-relaterade incidenter.