Preamble Recitals

För att harmonisera och förenkla de anmälnings- och rapporteringskrav för allvarliga IKT-relaterade incidenter som avses i artikel 19.4 i förordning (EU) 2022/2554 bör tidsfristerna för rapportering av allvarliga IKT-relaterade incidenter vara konsekventa för alla typer av finansiella entiteter. Tidsfristerna bör av detta skäl även i största möjliga utsträckning överensstämma med, och åtminstone ha samma verkan som, kraven i Europaparlamentets och rådets direktiv (EU) 2022/2555(²)Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333, 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj)..

För att inte lägga en orimlig rapporteringsbörda på de finansiella entiteterna i ett läge då de måste hantera den IKT-relaterade incidenten bör den första anmälan bara innehålla den viktigaste informationen. För att kunna vidta lämpliga tillsynsåtgärder måste behöriga myndigheter få information om allvarliga IKT-relaterade incidenter så snart som möjligt efter det att den finansiella entiteten har klassificerat en IKT-relaterad incident som allvarlig. Tidsfristen för den första anmälan som avses i artikel 19.4 a i förordning (EU) 2022/2554 bör följaktligen vara så kort som möjligt efter det att en IKT-relaterad incident har klassificerats som allvarlig, men samtidigt ge utrymme för flexibilitet, i synnerhet för affärsmodeller som inte är särskilt tidskritiska, för det fall att finansiella entiteter behöver mer tid att hantera den IKT-relaterade incidenten sedan de blivit medvetna om den.

Efter att ha mottagit den första anmälan bör behöriga myndigheter få mer detaljerad information om den IKT-relaterade incidenten i delrapporten och all relevant information i slutrapporten. Informationen i dessa rapporter bör göra det möjligt för behöriga myndigheter att göra ytterligare bedömningar av den IKT-relaterade incidenten och ta ställning till vilka tillsynsåtgärder de kan vilja vidta.

De tidsfrister för rapportering som avses i artikel 20 första stycket a ii i förordning (EU) 2022/2554 bör därför väga behöriga myndigheters behov av att snabbt få information mot behovet av att ge de finansiella entiteterna tillräckligt med tid att inhämta information som är fullständig och korrekt.

Med beaktande av kriterierna i artikel 20 första stycket a i förordning (EU) 2022/2554 bör tidsfristerna för rapportering inte utgöra en oproportionerligt stor börda för mikroföretag och andra finansiella entiteter som inte är betydande. För att undvika en oproportionerligt stor börda för finansiella entiteter bör tidsfristerna för rapportering dessutom ta hänsyn till veckoslut och helgdagar.

Eftersom betydande cyberhot anmäls på frivillig basis bör innehållet i sådana anmälningar inte vara betungande för finansiella entiteter utan mer begränsat än den information som krävs för allvarliga IKT-relaterade incidenter.

Denna förordning grundar sig på det förslag till tekniska tillsynsstandarder som de europeiska tillsynsmyndigheterna har överlämnat till kommissionen.

De europeiska tillsynsmyndigheterna har genomfört öppna offentliga samråd om det förslag till tekniska tillsynsstandarder som den här förordningen baseras på, analyserat potentiella kostnader och fördelar, samt begärt ett yttrande från de intressentgrupper som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordningar (EU) nr 1093/2010(³)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (EU) nr 1094/2010(⁴)Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). och (EU) nr 1095/2010(⁵)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725(⁶)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). och avgav ett yttrande den 22 juli 2024. All behandling av personuppgifter inom ramen för denna förordning bör utföras i enlighet med tillämpliga dataskyddsprinciper och bestämmelser i förordning (EU) 2018/1725.