Artikel 21 Centralisering av rapportering av allvarliga IKT-relaterade incidenter

Summary What does Article 21 of the DORA regulation say?

This article sits within the broader incident reporting framework established by DORA and tasks the ESAs, working through the Joint Committee and in consultation with the ECB and ENISA, with producing a feasibility report on whether ICT-related incident reporting by financial entities could be centralised through a single EU Hub.

The article is essentially a scoping and research exercise — it does not itself create a Hub, but rather sets out what must be studied and reported upon, covering practical considerations such as costs, governance, interoperability, and membership conditions.

The report must be submitted to the European Parliament, the Council, and the Commission by 17 January 2025.

Important points:

The ESAs are required to produce and submit a joint feasibility report on a centralised EU incident reporting Hub by 17 January 2025.
The report must address a defined list of elements, including prerequisites, risks, interoperability, operational management, membership conditions, technical access arrangements, and a preliminary cost assessment.
The stated goals of any such Hub would be to facilitate incident reporting flows, reduce associated costs, and enhance supervisory convergence.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med ECB och Enisa, utarbeta en gemensam rapport med en bedömning av genomförbarheten av ytterligare centralisering av incidentrapporteringen genom inrättandet av en gemensam EU-knutpunkt för finansiella entiteters rapportering av allvarliga IKT-relaterade incidenter. Den gemensamma rapporten ska innehålla en undersökning av olika sätt att underlätta flödet av IKT-relaterad incidentrapportering, minska de därmed sammanhängande kostnaderna och underbygga tematiska analyser i syfte att öka konvergensen i tillsynen.
1. Den gemensamma rapport som avses i punkt 1 ska innehålla minst följande:
  1. Förutsättningar för att inrätta en gemensam EU-knutpunkt.
  2. Fördelar, begränsningar och risker, inbegripet risker förknippade med hög koncentration av känslig information.
  3. Nödvändig kapacitet för att säkerställa interoperabilitet med andra relevanta rapporteringssystem.
  4. Inslag i den operativa förvaltningen.
  5. Villkor för medlemskap.
  6. Tekniska arrangemang för att finansiella entiteter och nationella behöriga myndigheter ska få tillgång till den gemensamma EU-knutpunkten.
  7. En preliminär bedömning av de finansiella kostnaderna för inrättandet av den operativa plattformen till stöd för den gemensamma EU-knutpunkten, inklusive den sakkunskap som krävs.
1. De europeiska tillsynsmyndigheterna ska överlämna den rapport som avses i punkt 1 till Europaparlamentet, rådet och kommissionen senast den 17 januari 2025.

Relevant recitals

Skäl 22 Divergent incident reporting requirements

Tröskelvärden och taxonomier för rapportering av IKT-relaterade incidenter varierar avsevärt på nationell nivå. Även om en samsyn kan uppnås genom det relevanta arbete som utförs av Europeiska unionens cybersäkerhetsbyrå (Enisa), som inrättats genom Europaparlamentets och rådets förordning (EU) 2019/881(¹¹), och samarbetsgruppen enligt direktiv (EU) 2022/2555, kan det fortfarande förekomma eller växa fram olika strategier för tröskelvärden och taxonomier för andra finansiella entiteter. Dessa skillnader medför flera krav som finansiella entiteter måste uppfylla, särskilt när de är verksamma i flera medlemsstater och när de ingår i en finansiell koncern. Sådana skillnader kan dessutom hindra inrättandet av ytterligare enhetliga eller centraliserade mekanismer på unionsnivå som påskyndar rapporteringsprocessen och underlättar ett snabbt och smidigt informationsutbyte mellan behöriga myndigheter, vilket är avgörande för att hantera IKT-risk vid storskaliga attacker med eventuella konsekvenser för det finansiella systemet.

Skäl 24 Robust ICT-related incident reporting regime

För att de behöriga myndigheterna ska kunna fullgöra tillsynsuppgifter genom att skaffa sig en fullständig överblick över IKT-relaterade incidenters art, frekvens, betydelse och inverkan och för att förbättra informationsutbytet mellan berörda offentliga myndigheter, inbegripet brottsbekämpande myndigheter och resolutionsmyndigheter, bör denna förordning fastställa regler för att uppnå ett stabilt rapporteringssystem för IKT-relaterade incidenter, där relevanta krav åtgärdar befintliga luckor i rätten avseende finansiella tjänster och undanröjer överlappningar och dubbleringar för att minska kostnaderna. Det är därför viktigt att harmonisera rapporteringssystemet för IKT-relaterade incidenter genom att kräva att alla finansiella entiteter rapporterar till sina behöriga myndigheter genom en harmoniserad ram i enlighet med denna förordning. Dessutom bör de europeiska tillsynsmyndigheterna ges befogenhet att närmare specificera relevanta delar i ramen för rapportering av IKT-relaterade incidenter, såsom taxonomi, tidsramar, datamängder, mallar och tillämpliga tröskelvärden. För att säkerställa fullständig överensstämmelse med direktiv (EU) 2022/2555 bör finansiella entiteter på frivillig basis tillåtas rapportera betydande cyberhot till den relevanta behöriga myndigheten, när de anser att cyberhotet är relevant för det finansiella systemet, tjänsteanvändare eller kunder.

Skäl 51 Streamlined ICT-related incident reporting

Spridare av cyberangrepp tenderar att eftersträva ekonomisk vinning direkt vid källan, vilket utsätter finansiella entiteter för betydande konsekvenser. I syfte att förhindra att IKT-system förlorar integritet eller blir otillgängliga, och därmed undvika dataintrång och skador för den fysiska IKT-infrastrukturen, bör finansiella entiteters rapportering av allvarliga IKT-relaterade incidenter avsevärt förbättras och förenklas. IKT-relaterad incidentrapportering bör harmoniseras genom införande av ett krav för alla finansiella entiteter att rapportera direkt till sina berörda behöriga myndigheter. Om en finansiell entitet är föremål för tillsyn av mer än en nationell behörig myndighet bör medlemsstaterna utse en enda behörig myndighet som mottagare av sådan rapportering. Kreditinstitut som klassificerats som betydande i enlighet med artikel 6.4 i rådets förordning (EU) nr 1024/2013(¹⁹) bör förelägga de nationella behöriga myndigheterna sådan rapportering, och dessa bör därefter översända rapporten till Europeiska centralbanken (ECB).

Skäl 55 Feasibility of centralized incident reporting

De europeiska tillsynsmyndigheterna bör få i uppdrag att bedöma genomförbarheten av och villkoren för en eventuell centralisering av IKT-relaterade incidentrapporter på unionsnivå. Sådan centralisering kan bestå av en gemensam EU-knutpunkt för rapportering av allvarliga IKT-relaterade incidenter, som antingen direkt tar emot relevanta rapporter och automatiskt underrättar nationella behöriga myndigheter, eller som enbart centraliserar relevanta rapporter från de nationella behöriga myndigheterna och därmed fyller en samordnande funktion. De europeiska tillsynsmyndigheterna bör få i uppdrag att i samråd med ECB och Enisa utarbeta en gemensam rapport om möjligheten att inrätta en gemensam EU-knutpunkt.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.