Source: OJ L, 2025/301, 20.2.2025
Current language: SV
RTS on incident reporting
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2025/301
av den 23 oktober 2024
om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2554 vad gäller tekniska tillsynsstandarder som specificerar innehåll och tidsfrister för den första anmälan av, delrapporten och slutrapporten om allvarliga IKT-relaterade incidenter samt innehållet i den frivilliga anmälan av betydande cyberhot
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011(1)EUT L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj., särskilt artikel 20 tredje stycket, och
av följande skäl:
Skäl 1 Reporting time limits
För att harmonisera och förenkla de anmälnings- och rapporteringskrav för allvarliga IKT-relaterade incidenter som avses i artikel 19.4 i förordning (EU) 2022/2554 bör tidsfristerna för rapportering av allvarliga IKT-relaterade incidenter vara konsekventa för alla typer av finansiella entiteter. Tidsfristerna bör av detta skäl även i största möjliga utsträckning överensstämma med, och åtminstone ha samma verkan som, kraven i Europaparlamentets och rådets direktiv (EU) 2022/2555(2)Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj)..
Skäl 2 Time limit for the initial notification
För att inte lägga en orimlig rapporteringsbörda på de finansiella entiteterna i ett läge då de måste hantera den IKT-relaterade incidenten bör den första anmälan bara innehålla den viktigaste informationen. För att kunna vidta lämpliga tillsynsåtgärder måste behöriga myndigheter få information om allvarliga IKT-relaterade incidenter så snart som möjligt efter det att den finansiella entiteten har klassificerat en IKT-relaterad incidenten enskild händelse eller en serie sammankopplade händelser som inte planerats av den finansiella entiteten och som äventyrar säkerheten i nätverks- och informationssystemen och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller datan eller de tjänster som tillhandahålls av den finansiella entiteten. som allvarlig. Tidsfristen för den första anmälan som avses i artikel 19.4 a i förordning (EU) 2022/2554 bör följaktligen vara så kort som möjligt efter det att en IKT-relaterad incidenten enskild händelse eller en serie sammankopplade händelser som inte planerats av den finansiella entiteten och som äventyrar säkerheten i nätverks- och informationssystemen och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller datan eller de tjänster som tillhandahålls av den finansiella entiteten. har klassificerats som allvarlig, men samtidigt ge utrymme för flexibilitet, i synnerhet för affärsmodeller som inte är särskilt tidskritiska, för det fall att finansiella entiteter behöver mer tid att hantera den IKT-relaterade incidenten sedan de blivit medvetna om den.
Skäl 3 The intermediate and final reports
Efter att ha mottagit den första anmälan bör behöriga myndigheter få mer detaljerad information om den IKT-relaterade incidenten i delrapporten och all relevant information i slutrapporten. Informationen i dessa rapporter bör göra det möjligt för behöriga myndigheter att göra ytterligare bedömningar av den IKT-relaterade incidenten och ta ställning till vilka tillsynsåtgärder de kan vilja vidta.
Skäl 4 Balance of time limits
De tidsfrister för rapportering som avses i artikel 20 första stycket a ii i förordning (EU) 2022/2554 bör därför väga behöriga myndigheters behov av att snabbt få information mot behovet av att ge de finansiella entiteterna tillräckligt med tid att inhämta information som är fullständig och korrekt.
Skäl 5 Microenterprises and to other financial entities that are not significant
Med beaktande av kriterierna i artikel 20 första stycket a i förordning (EU) 2022/2554 bör tidsfristerna för rapportering inte utgöra en oproportionerligt stor börda för mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. och andra finansiella entiteter som inte är betydande. För att undvika en oproportionerligt stor börda för finansiella entiteter bör tidsfristerna för rapportering dessutom ta hänsyn till veckoslut och helgdagar.
Skäl 6 Reporting significant cyber threats
Eftersom betydande cyberhotett cyberhot vars tekniska egenskaper indikerar att det potentiellt kan leda till en allvarlig IKT-relaterad incident eller allvarlig betalningsrelaterad operativ incident eller säkerhetsincident. anmäls på frivillig basis bör innehållet i sådana anmälningar inte vara betungande för finansiella entiteter utan mer begränsat än den information som krävs för allvarliga IKT-relaterade incidenter.
Skäl 7 Draft regulatory technical standards from ESAs
Denna förordning grundar sig på det förslag till tekniska tillsynsstandarder som de europeiska tillsynsmyndigheterna har överlämnat till kommissionen.
Skäl 8 Open public consultations
De europeiska tillsynsmyndigheterna har genomfört öppna offentliga samråd om det förslag till tekniska tillsynsstandarder som den här förordningen baseras på, analyserat potentiella kostnader och fördelar, samt begärt ett yttrande från de intressentgrupper som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordningar (EU) nr 1093/2010(3)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (EU) nr 1094/2010(4)Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). och (EU) nr 1095/2010(5)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..
Skäl 9 Processing of personal data
Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725(6)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). och avgav ett yttrande den 22 juli 2024. All behandling av personuppgifter inom ramen för denna förordning bör utföras i enlighet med tillämpliga dataskyddsprinciper och bestämmelser i förordning (EU) 2018/1725.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
- Artikel 1Allmän information som ska lämnas i den första anmälan och i del- och slutrapporter om allvarliga IKT-relaterade incidenter
- Artikel 2Särskild information som ska lämnas i en första anmälan
- Artikel 3Särskild information som ska lämnas i en delrapport
- Artikel 4Särskild information som ska lämnas i en slutrapport
- Artikel 5Tidsfrister för en första anmälan och för del- och slutrapporter
- Artikel 6Innehåll i den frivilliga anmälan av betydande cyberhot
- Artikel 7Ikraftträdande
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 23 oktober 2024.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande