Artikel 20 Harmonisering av rapporteringsinnehåll och mallar

Summary What does Article 20 of the DORA regulation say?

This article is a technical standards mandate that directly supports the incident reporting obligations established in Articles 18 and 19.

It tasks the ESAs, working through the Joint Committee and in consultation with ENISA and the ECB, with developing both regulatory and implementing technical standards to standardise how major ICT-related incidents and significant cyber threats are reported.

The goal is to create uniform content requirements, time limits, and templates across the financial sector, while still allowing for some sector-specific flexibility in reporting timelines.

Important points:

The ESAs are required to develop technical standards covering the content of incident reports, reporting time limits, and the content of significant cyber threat notifications.
Standard forms, templates and procedures for financial entities to use when reporting major ICT-related incidents and significant cyber threats must also be developed by the ESAs.
The ESAs were required to submit all draft technical standards to the Commission by 17 July 2024, after which the Commission holds the power to formally adopt them.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med Enisa och ECB, utarbeta
1. gemensamma förslag till tekniska standarder för tillsyn för att
  fastställa innehållet i rapporterna om allvarliga IKT-relaterade incidenter, för att återspegla de kriterier som fastställts i artikel 18.1 och införliva ytterligare beståndsdelar, såsom detaljerna för att fastställa huruvida rapporteringen är relevant för andra medlemsstater och huruvida det utgör en allvarliga betalningsrelaterad operativ incident eller säkerhetsincident eller inte,
  fastställa tidsfristerna för den första anmälan och för varje rapport som avses i artikel 19.4,
  fastställa innehållet i anmälan om betydande cyberhot.
  Vid utarbetandet av dessa förslag till tekniska standarder för tillsyn ska de europeiska tillsynsmyndigheterna ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil samt karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser, särskilt för att säkerställa att olika tidsfrister för tillämpningen av detta stycke led a ii, beroende på vad som är lämpligt, kan återspegla de finansiella sektorernas särdrag, utan att det påverkar upprätthållandet av en enhetlig strategi för IKT-relaterad incidentrapportering enligt denna förordning och i direktiv (EU) 2022/2555. De europeiska tillsynsmyndigheterna ska, beroende på vad som är tillämpligt, lämna en motivering när de avviker från de metoder som tillämpas inom ramen för det direktivet.
2. gemensamma förslag till tekniska standarder för genomförande i syfte att fastställa standardformulär, mallar och förfaranden för finansiella entiteter för rapportering av en allvarlig IKT-relaterad incident eller anmälan av ett betydande cyberhot.
De europeiska tillsynsmyndigheterna ska överlämna de gemensamma förslag till tekniska standarder för tillsyn som avses i första stycket a och de gemensamma förslag till tekniska genomförandestandarder som avses i första stycket b till kommissionen senast den 17 juli 2024.
Kommissionen ges befogenhet att komplettera denna förordning genom att anta de gemensamma tekniska standarder för tillsyn som avses i första stycket a i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.
Kommissionen ges befogenhet att anta de gemensamma tekniska standarder för genomförande som avses i första stycket b i enlighet med artikel 15 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Relevant recitals

Skäl 22 Divergent incident reporting requirements

Tröskelvärden och taxonomier för rapportering av IKT-relaterade incidenter varierar avsevärt på nationell nivå. Även om en samsyn kan uppnås genom det relevanta arbete som utförs av Europeiska unionens cybersäkerhetsbyrå (Enisa), som inrättats genom Europaparlamentets och rådets förordning (EU) 2019/881(¹¹), och samarbetsgruppen enligt direktiv (EU) 2022/2555, kan det fortfarande förekomma eller växa fram olika strategier för tröskelvärden och taxonomier för andra finansiella entiteter. Dessa skillnader medför flera krav som finansiella entiteter måste uppfylla, särskilt när de är verksamma i flera medlemsstater och när de ingår i en finansiell koncern. Sådana skillnader kan dessutom hindra inrättandet av ytterligare enhetliga eller centraliserade mekanismer på unionsnivå som påskyndar rapporteringsprocessen och underlättar ett snabbt och smidigt informationsutbyte mellan behöriga myndigheter, vilket är avgörande för att hantera IKT-risk vid storskaliga attacker med eventuella konsekvenser för det finansiella systemet.

Skäl 24 Robust ICT-related incident reporting regime

För att de behöriga myndigheterna ska kunna fullgöra tillsynsuppgifter genom att skaffa sig en fullständig överblick över IKT-relaterade incidenters art, frekvens, betydelse och inverkan och för att förbättra informationsutbytet mellan berörda offentliga myndigheter, inbegripet brottsbekämpande myndigheter och resolutionsmyndigheter, bör denna förordning fastställa regler för att uppnå ett stabilt rapporteringssystem för IKT-relaterade incidenter, där relevanta krav åtgärdar befintliga luckor i rätten avseende finansiella tjänster och undanröjer överlappningar och dubbleringar för att minska kostnaderna. Det är därför viktigt att harmonisera rapporteringssystemet för IKT-relaterade incidenter genom att kräva att alla finansiella entiteter rapporterar till sina behöriga myndigheter genom en harmoniserad ram i enlighet med denna förordning. Dessutom bör de europeiska tillsynsmyndigheterna ges befogenhet att närmare specificera relevanta delar i ramen för rapportering av IKT-relaterade incidenter, såsom taxonomi, tidsramar, datamängder, mallar och tillämpliga tröskelvärden. För att säkerställa fullständig överensstämmelse med direktiv (EU) 2022/2555 bör finansiella entiteter på frivillig basis tillåtas rapportera betydande cyberhot till den relevanta behöriga myndigheten, när de anser att cyberhotet är relevant för det finansiella systemet, tjänsteanvändare eller kunder.

Skäl 51 Streamlined ICT-related incident reporting

Spridare av cyberangrepp tenderar att eftersträva ekonomisk vinning direkt vid källan, vilket utsätter finansiella entiteter för betydande konsekvenser. I syfte att förhindra att IKT-system förlorar integritet eller blir otillgängliga, och därmed undvika dataintrång och skador för den fysiska IKT-infrastrukturen, bör finansiella entiteters rapportering av allvarliga IKT-relaterade incidenter avsevärt förbättras och förenklas. IKT-relaterad incidentrapportering bör harmoniseras genom införande av ett krav för alla finansiella entiteter att rapportera direkt till sina berörda behöriga myndigheter. Om en finansiell entitet är föremål för tillsyn av mer än en nationell behörig myndighet bör medlemsstaterna utse en enda behörig myndighet som mottagare av sådan rapportering. Kreditinstitut som klassificerats som betydande i enlighet med artikel 6.4 i rådets förordning (EU) nr 1024/2013(¹⁹) bör förelägga de nationella behöriga myndigheterna sådan rapportering, och dessa bör därefter översända rapporten till Europeiska centralbanken (ECB).

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.