Preamble Recitals

För att säkerställa att finansiella entiteter rapporterar allvarliga incidenter till sina behöriga myndigheter på ett konsekvent sätt och för att säkerställa att de förser dessa myndigheter med uppgifter av god kvalitet bör det specificeras vilka datafält finansiella entiteter måste tillhandahålla i de olika skedena av den rapportering som avses i artikel 19.4 i förordning (EU) 2022/2554. Det är viktigt att denna information presenteras på ett sätt som möjliggör en samlad översikt över incidenten. Det är därför nödvändigt att fastställa en gemensam rapporteringsmall för dessa ändamål.

Finansiella entiteter bör fylla i de datafält i rapporteringsmallen som motsvarar informationskraven för respektive anmälan eller rapport. Finansiella entiteter som redan har information som de ska lämna in i ett senare rapporteringsskede, dvs. i delrapporten eller slutrapporten, bör dock tillåtas att lämna in uppgifterna i förväg.

Eftersom flera eller återkommande incidenter kan utgöra en allvarlig incident enligt artikel 8 i kommissionens delegerade förordning (EU) 2024/1772(²)Kommissionens delegerade förordning (EU) 2024/1772 av den 13 mars 2024 om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2554 vad gäller tekniska standarder för tillsyn som specificerar kriterierna för klassificering av IKT-relaterade incidenter och cyberhot, fastställande av väsentlighetströsklar och närmare uppgifter om rapporter om allvarliga incidenter (EUT L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj). bör utformningen av rapporteringsmallen och datafälten göra det möjligt för finansiella entiteter att rapportera sådana återkommande incidenter.

För att säkerställa korrekt och aktuell information bör rapporteringsmallen göra det möjligt för finansiella entiteter att, när de lämnar in del- och slutrapporten, uppdatera all information som lämnats tidigare och vid behov omklassificera allvarliga incidenter som icke-allvarliga.

Den rättsliga identifieringen av entiteter bör anpassas till de identifikatorer som anges i de tekniska genomförandestandarder som antagits i enlighet med artikel 28.9 i förordning (EU) 2022/2554.

Om finansiella entiteter utkontrakterar rapporteringsskyldigheten avseende allvarliga IKT-relaterade incidenter till en tredje part bör de behöriga myndigheterna känna till identiteten på den tredje part som utför rapporteringen för den finansiella entitetens räkning innan den första anmälan eller rapporterna lämnas in för att kontrollera den rapporterande tredje partens legitimitet.

För att enkelt kunna fastställa effekterna av en incident som inträffat hos eller orsakats av en tredjepartsleverantör och som påverkar flera finansiella entiteter inom en enda medlemsstat, och för att minska rapporteringsbördan för de finansiella entiteterna, bör rapporteringsmallen göra det möjligt att lämna in en aggregerad rapport som omfattar aggregerad information om incidentens inverkan på alla finansiella entiteter som påverkats och som har klassificerat incidenten som allvarlig.

Rapporteringsmallen bör utformas på ett teknikneutralt sätt så att den kan användas i olika lösningar för incidentrapportering som redan finns eller som kan utvecklas för genomförandet av kraven i förordning (EU) 2022/2554.

Utformningen av rapporteringsmallen och datafälten bör underlätta rapporteringen av allvarliga IKT-relaterade incidenter för tredje parter till vilka finansiella entiteter har utkontrakterat sin rapporteringsskyldighet i enlighet med artikel 19.5 i förordning (EU) 2022/2554.

Denna förordning grundar sig på det förslag till tekniska genomförandestandarder som de europeiska tillsynsmyndigheterna har lagt fram för kommissionen.

De europeiska tillsynsmyndigheterna har anordnat öppna offentliga samråd om de förslag till tekniska genomförandestandarder som den här förordningen grundas på, gjort en analys av möjliga kostnader och fördelar samt begärt råd från den bankintressentgrupp som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordningar (EU) nr 1093/2010(³)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (EU) nr 1094/2010(⁴)Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). och (EU) nr 1095/2010(⁵)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725(⁶)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). och avgav ett positivt yttrande den 22 juli 2024. All behandling av personuppgifter som omfattas av denna förordning bör utföras i enlighet med de tillämpliga principerna för och bestämmelserna om dataskydd i förordning (EU) 2018/1725.