Artikel 3 Betydande incidenter

I denna förordning anges närmare de fall då en incident bör anses som betydande vid tillämpningen av artikel 23.3 i direktiv (EU) 2022/2555. Kriterierna bör vara sådana att berörda entiteter kan bedöma om en incident är betydande, för att anmäla incidenten i enlighet med direktiv (EU) 2022/2555. De kriterier som fastställs i denna förordning bör vidare anses som uttömmande, utan att det påverkar tillämpningen av artikel 5 i direktiv (EU) 2022/2555. I denna förordning specificeras i vilka fall som en incident bör anses som betydande, genom fastställandet av både övergripande och entitetsspecifika fall.

I enlighet med artikel 23.4 i direktiv (EU) 2022/2555 bör de berörda entiteterna vara skyldiga att anmäla betydande incidenter inom de tidsfrister som fastställs i den bestämmelsen. Dessa tidsfrister börjar löpa vid den tidpunkt då entiteten får kännedom om sådana betydande incidenter. Den berörda entiteten är därför skyldig att rapportera incidenter som, baserat på dess inledande bedömning, skulle kunna orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten eller påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada. När en berörd entitet har upptäckt en misstänkt händelse, eller efter att den har uppmärksammats på en potentiell incident av en tredje part, såsom en individ, en kund, en entitet, en myndighet, en medieorganisation eller en annan källa, bör den berörda entiteten därför i rätt tid bedöma den misstänkta händelsen för att fastställa om den utgör en incident och om så är fallet fastställa dess art och allvarlighetsgrad. Den berörda entiteten anses därför ha fått ”kännedom” om den betydande incidenten när den, efter en sådan inledande bedömning, med en rimlig grad av säkerhet har fastställt att en betydande incident har ägt rum.

För att fastställa om en incident är betydande bör de berörda entiteterna, när så är relevant, räkna antalet användare som påverkas av incidenten, med beaktande av företagskunder och slutkunder med vilka de berörda entiteterna har ett avtalsförhållande samt fysiska och juridiska personer som är kopplade till företagskunder. Om en berörd entitet inte kan beräkna antalet användare som påverkas bör den berörda entitetens uppskattning av det möjliga högsta antalet påverkade användare beaktas för beräkningen av det totala antal användare som påverkas av incidenten. Betydelsen av en incident som involverar en betrodd tjänst bör inte bara fastställas baserat på antalet användare utan även på antalet förlitande parter, eftersom dessa kan påverkas lika mycket av en betydande incident som involverar en betrodd tjänst när det gäller driftsstörning och materiell eller immateriell skada. Därför bör leverantörer av betrodda tjänster, om tillämpligt, även ta hänsyn till antalet förlitande parter när de fastställer om en incident är betydande. I detta sammanhang bör förlitande parter förstås som fysiska eller juridiska personer som förlitar sig på en betrodd tjänst.

Underhållsarbeten som leder till begränsad tillgänglighet eller otillgänglighet för tjänsten bör inte anses som betydande incidenter om tjänstens begränsade tillgänglighet eller otillgänglighet inträffar i enlighet med en planerad underhållsinsats. Om en tjänst är otillgänglig på grund av planerade avbrott såsom avbrott eller otillgänglighet som baseras på förutbestämda avtalsenliga överenskommelser bör inte heller det anses som en betydande incident.

Varaktigheten för en incident som påverkar tillgången till en tjänst bör mätas från den tidpunkt då det korrekta tillhandahållandet av tjänsten avbryts till tidpunkten för återställningen. Om en berörd entitet inte kan fastställa det ögonblick då störningen inleddes bör incidentens varaktighet mätas från det ögonblick då incidenten upptäcktes eller från det ögonblick då incidenten registrerades i nätverks- eller systemloggar eller andra datakällor, beroende på vilket som inträffar först.

Total otillgänglighet till en tjänst bör mätas från det ögonblick då tjänsten blir helt otillgänglig för användare till det ögonblick då reguljär verksamhet eller drift har återställts till den tjänstenivå som tillhandhölls före incidenten. Om en berörd entitet inte kan fastställa när en tjänsts totala otillgänglighet inleddes bör otillgängligheten mätas från det ögonblick då den upptäcktes av den entiteten.

När det gäller att fastställa de direkta ekonomiska förlusterna till följd av en incident bör berörda entiteter ta hänsyn till alla ekonomiska förluster som incidenten har orsakat för dem, såsom kostnaderna för utbyte eller omlokalisering av programvara, maskinvara eller infrastruktur, personalkostnader – inklusive kostnader i samband med ersättning eller omplacering av personal, rekrytering av extra personal, övertidsersättning och återställande av förlorad eller försämrad kompetens, avgifter på grund av att avtalsförpliktelserna inte har fullgjorts, kostnader för gottgörelse och ersättning till kunder, förluster på grund av uteblivna intäkter, kostnader för intern och extern kommunikation, rådgivningskostnader – inklusive kostnader i samband med juridisk rådgivning, kriminaltekniska tjänster och saneringstjänster – samt andra kostnader kopplade till incidenten. Straffavgifter och kostnader som är nödvändiga för den dagliga verksamheten bör dock inte anses som ekonomiska förluster till följd av en incident, och detta innefattar kostnader för allmänt underhåll av infrastruktur, utrustning, maskinvara och programvara, åtgärder för att hålla personalens kompetens uppdaterad, interna eller externa kostnader för att förbättra verksamheten efter incidenten, inklusive uppgraderingar, förbättringar och riskbedömningsinitiativ, samt försäkringspremier. De berörda entiteterna bör beräkna de ekonomiska förlustbeloppen på grundval av tillgängliga data, och om de faktiska ekonomiska förlustbeloppen inte kan fastställas bör entiteterna göra en uppskattning.

Berörda entiteter bör också vara skyldiga att rapportera incidenter som har orsakat eller kan orsaka dödsfall för fysiska personer eller betydande skada för fysiska personers hälsa, eftersom sådana incidenter är särskilt allvarliga fall som medför betydande materiell eller immateriell skada. En incident som påverkar en berörd entitet kan exempelvis medföra att hälso- och sjukvårdstjänster eller räddningstjänster inte är tillgängliga, eller orsaka konfidentialitets- eller integritetsförlust för data med konsekvenser för fysiska personers hälsa. Vid fastställandet av om en incident har orsakat eller kan orsaka betydande skada för en fysisk persons hälsa bör de berörda entiteterna ta hänsyn till om incidenten orsakat eller kan orsaka allvarliga fysiska skador och ohälsa. I detta sammanhang bör de berörda entiteterna inte vara skyldiga att inhämta ytterligare information som de inte har tillgång till.

Begränsad tillgänglighet bör anses förekomma i synnerhet om en tjänst som tillhandahålls av en berörd entitet är betydligt långsammare än den genomsnittliga svarstiden eller om inte alla funktioner hos en tjänst är tillgängliga. När så är möjligt bör objektiva kriterier baserade på den genomsnittliga svarstiden för tjänster som tillhandahålls av de berörda entiteterna användas vid bedömningen av fördröjd svarstid. En tjänsts funktion kan exempelvis vara en chattfunktion eller en bildsökningsfunktion.

En framgångsrik, misstänkt skadlig och obehörig åtkomst till en berörd entitets nätverks- och informationssystem bör anses som en betydande incident om denna åtkomst kan orsaka allvarliga driftsstörningar. Om exempelvis en cyberhotsaktör i förväg positionerar sig i en berörd entitets nätverks- och informationssystem i syfte att orsaka driftsstörningar i framtiden så ska incidenten anses som betydande.