RTS on incident classification

När det gäller klassificeringskriteriet mängd och antal transaktioner som påverkas är begreppet transaktioner brett och omfattar olika verksamheter och tjänster i de sektorsspecifika rättsakter som är tillämpliga på finansiella entiteter. Detta klassificeringskriterium bör tillämpas på betalningstransaktioner och alla former av utbyte av finansiella instrument, kryptotillgångar, råvaror eller andra tillgångar, även i form av marginalsäkerheter, säkerheter eller pant, både mot kontanter och mot andra tillgångar. Alla transaktioner som omfattar tillgångar vars värde kan uttryckas i ett penningbelopp bör beaktas vid klassificeringen.

Klassificeringskriterierna bör säkerställa att alla relevanta typer av allvarliga incidenter fångas upp. Cyberangreppen skadlig IKT-relaterad incident orsakad av ett försök av en fientlig aktör att förstöra, exponera, ändra, deaktivera, stjäla eller få obehörig åtkomst till eller obehörigt utnyttja en tillgång. som rör intrång i nätverk eller informationssystem fångas inte nödvändigtvis upp av många klassificeringskriterier. De är dock viktiga eftersom intrång i nätverks- och informationssystemett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555. kan skada den finansiella entiteten. Klassificeringskriterierna kritiska tjänster som påverkas och dataförluster bör därför specificeras på ett sådant sätt att de omfattar dessa typer av allvarliga incidenter, särskilt obehöriga intrång som även om effekterna inte är omedelbart kända kan leda till allvarliga konsekvenser, särskilt dataintrång och dataläckage.

Eftersom kreditinstitutett kreditinstitut enligt definitionen i artikel 4.1.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013(32) Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012 (EUT L 176, 27.6.2013, s. 1).. omfattas både av ramen för klassificering av incidenter enligt artikel 18 i förordning (EU) 2022/2554 och av ramen för operativ risk enligt kommissionens delegerade förordning (EU) 2018/959(³)Kommissionens delegerade förordning (EU) 2018/959 av den 14 mars 2018 om komplettering av Europaparlamentets och rådets förordning (EU) nr 575/2013 vad gäller tekniska tillsynsstandarder för specificeringen av de metoder som de behöriga myndigheterna använder för att bedöma om institut ska tillåtas att använda internmätningsmetoder för operativ risk (EUT L 169, 6.7.2018, s. 1, ELI: http://data.europa.eu/eli/reg_del/2018/959/oj)., bör metoden för att bedöma den ekonomiska effekten av en incident baserat på beräkningen av kostnader och förluster i största möjliga utsträckning vara konsekvent inom båda ramarna för att undvika att införa oförenliga eller motsägelsefulla krav.

Kriteriet avseende den geografiska spridningen av en incident i artikel 18.1 c i förordning (EU) 2022/2554 bör fokusera på incidentens gränsöverskridande påverkan, eftersom påverkan av en incident på en finansiell entitets verksamhet inom en enda jurisdiktion kommer att fångas upp av de andra kriterier som anges i den artikeln.

Med tanke på att klassificeringskriterierna är beroende av och kopplade till varandra bör metoden för att identifiera allvarliga incidenter som ska rapporteras i enlighet med artikel 19.1 i förordning (EU) 2022/2554 baseras på en kombination av kriterier, där vissa kriterier som är nära kopplade till definitionerna av en IKT-relaterad incidenten enskild händelse eller en serie sammankopplade händelser som inte planerats av den finansiella entiteten och som äventyrar säkerheten i nätverks- och informationssystemen och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller datan eller de tjänster som tillhandahålls av den finansiella entiteten. och en allvarlig IKT-relaterad incidenten IKT-relaterad incident som har stor negativ inverkan på nätverks- och informationssystem som stöder den finansiella entitetens kritiska eller viktiga funktioner. i artikel 3.8 och 3.10 i förordning (EU) 2022/2554 bör ha större betydelse vid klassificeringen av allvarliga incidenter än andra kriterier.

I syfte att säkerställa att de rapporter om och anmälningar av allvarliga incidenter som de behöriga myndigheterna mottar enligt artikel 19.1 i förordning (EU) 2022/2554 används både för tillsynsändamål och för att förhindra spridning inom den finansiella sektorn, bör väsentlighetströsklarna göra det möjligt att fånga upp allvarliga incidenter genom att bland annat fokusera på inverkan på enhetsspecifika kritiska tjänster, de specifika absoluta och relativa trösklarna för kunder eller finansiella motparter, transaktioner som tyder på en betydande inverkan på den finansiella entiteten och inverkans betydelse i andra medlemsstater.

Incidenter som påverkar IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. eller nätverks- och informationssystemett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555. som stöder kritiska eller viktiga funktioner, eller finansiella tjänster som kräver godkännande eller skadlig obehörig åtkomst till nätverks- och informationssystemett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555. som stöder kritiska eller viktiga funktioner, bör betraktas som incidenter som påverkar de finansiella entiteternas kritiska tjänster. Skadlig, obehörig åtkomst till nätverks- och informationssystemett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555. som stöder kritiska eller viktiga funktioner hos finansiella entiteter utgör allvarliga risker för den finansiella entiteten och bör, eftersom de kan påverka andra finansiella entiteter, alltid betraktas som allvarliga incidenter som ska rapporteras.

Återkommande incidenter som är kopplade till varandra genom en liknande uppenbar grundorsak, men som var för sig inte är allvarliga incidenter, kan tyda på betydande brister och svagheter i den finansiella entitetens incident- och riskhanteringsförfaranden. Därför bör återkommande incidenter betraktas som viktiga kollektivt om de inträffar upprepade gånger under en viss tidsperiod.

Med tanke på att cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881. kan ha en negativ inverkan på den finansiella entiteten och sektorn, bör de betydande cyberhotett cyberhot vars tekniska egenskaper indikerar att det potentiellt kan leda till en allvarlig IKT-relaterad incident eller allvarlig betalningsrelaterad operativ incident eller säkerhetsincident. som finansiella entiteter kan lämna in ange sannolikheten för materialisering och hur kritisk den potentiella inverkan är. För att säkerställa en tydlig och konsekvent bedömning av cyberhotens betydelse bör klassificeringen av ett cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881. som betydande därför vara beroende av sannolikheten för att klassificeringskriterierna för allvarliga incidenter och deras tröskelvärde skulle uppfyllas om hotet hade materialiserats, av typen av cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881. och av den information som är tillgänglig för den finansiella entiteten.

Med tanke på att behöriga myndigheter i andra medlemsstater ska underrättas om incidenter som påverkar finansiella entiteter och kunder i deras jurisdiktion, bör bedömningen av påverkan i en annan jurisdiktion i enlighet med artikel 19.7 i förordning (EU) 2022/2554 baseras på grundorsaken till incidenten, på potentiell spridning genom tredjepartsleverantörer och på finansmarknadsinfrastrukturer samt på incidentens inverkan på betydande grupper av kunder eller finansiella motparter.

De rapporterings- och anmälningsförfaranden som avses i artikel 19.6 och 19.7 i förordning (EU) 2022/2554 bör göra det möjligt för respektive mottagare att bedöma incidenternas inverkan. Den översända informationen bör därför omfatta alla uppgifter i de incidentrapporter som den finansiella entiteten lämnar till den behöriga myndigheten.

Om en incident utgör en personuppgiftsincident enligt Europaparlamentets och rådets förordning (EU) 2016/679(⁴)Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj). och Europaparlamentets och rådets direktiv 2002/58/EG(⁵)Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj). bör den här förordningen inte påverka de skyldigheter att registrera och anmäla personuppgiftsincidenter som fastställs i denna unionslagstiftning. De behöriga myndigheterna bör samarbeta och utbyta information om alla relevanta frågor med de myndigheter som avses i förordning (EU) 2016/679 och direktiv 2002/58/EG.

Denna förordning grundar sig på det förslag till tekniska standarder för tillsyn som de europeiska tillsynsmyndigheterna har överlämnat till kommissionen i samråd med Europeiska unionens cybersäkerhetsbyrå (Enisa) och Europeiska centralbanken (ECB).

Den gemensamma kommitténden kommitté som avses i artikel 54 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010. för de europeiska tillsynsmyndigheterna, som avses i artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1093/2010(⁶)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., i artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1094/2010(⁷)Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). och i artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1095/2010(⁸)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)., har genomfört öppna offentliga samråd om det förslag till tekniska standarder för tillsyn som den här förordningen grundar sig på, analyserat de potentiella kostnaderna och fördelarna med de föreslagna standarderna och begärt råd från den bankintressentgrupp som inrättats i enlighet med artikel 37 i förordning (EU) nr 1093/2010, den intressentgrupp för försäkring och återförsäkring och den intressentgrupp för tjänstepensioner som inrättats i enlighet med artikel 37 i förordning (EU) nr 1094/2010 samt den intressentgrupp för värdepapper och marknader som inrättats i enlighet med artikel 37 i förordning (EU) nr 1095/2010.

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725(⁹)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). och avgav ett yttrande den 24 januari 2024.