RTS on incident classification

När det gäller klassificeringskriteriet mängd och antal transaktioner som påverkas är begreppet transaktioner brett och omfattar olika verksamheter och tjänster i de sektorsspecifika rättsakter som är tillämpliga på finansiella entiteter. Detta klassificeringskriterium bör tillämpas på betalningstransaktioner och alla former av utbyte av finansiella instrument, kryptotillgångar, råvaror eller andra tillgångar, även i form av marginalsäkerheter, säkerheter eller pant, både mot kontanter och mot andra tillgångar. Alla transaktioner som omfattar tillgångar vars värde kan uttryckas i ett penningbelopp bör beaktas vid klassificeringen.

Klassificeringskriterierna bör säkerställa att alla relevanta typer av allvarliga incidenter fångas upp. Cyberangrepp som rör intrång i nätverk eller informationssystem fångas inte nödvändigtvis upp av många klassificeringskriterier. De är dock viktiga eftersom intrång i nätverks- och informationssystem kan skada den finansiella entiteten. Klassificeringskriterierna kritiska tjänster som påverkas och dataförluster bör därför specificeras på ett sådant sätt att de omfattar dessa typer av allvarliga incidenter, särskilt obehöriga intrång som även om effekterna inte är omedelbart kända kan leda till allvarliga konsekvenser, särskilt dataintrång och dataläckage.

Eftersom kreditinstitut omfattas både av ramen för klassificering av incidenter enligt artikel 18 i förordning (EU) 2022/2554 och av ramen för operativ risk enligt kommissionens delegerade förordning (EU) 2018/959(³), bör metoden för att bedöma den ekonomiska effekten av en incident baserat på beräkningen av kostnader och förluster i största möjliga utsträckning vara konsekvent inom båda ramarna för att undvika att införa oförenliga eller motsägelsefulla krav.

Kriteriet avseende den geografiska spridningen av en incident i artikel 18.1 c i förordning (EU) 2022/2554 bör fokusera på incidentens gränsöverskridande påverkan, eftersom påverkan av en incident på en finansiell entitets verksamhet inom en enda jurisdiktion kommer att fångas upp av de andra kriterier som anges i den artikeln.

Med tanke på att klassificeringskriterierna är beroende av och kopplade till varandra bör metoden för att identifiera allvarliga incidenter som ska rapporteras i enlighet med artikel 19.1 i förordning (EU) 2022/2554 baseras på en kombination av kriterier, där vissa kriterier som är nära kopplade till definitionerna av en IKT-relaterad incident och en allvarlig IKT-relaterad incident i artikel 3.8 och 3.10 i förordning (EU) 2022/2554 bör ha större betydelse vid klassificeringen av allvarliga incidenter än andra kriterier.

I syfte att säkerställa att de rapporter om och anmälningar av allvarliga incidenter som de behöriga myndigheterna mottar enligt artikel 19.1 i förordning (EU) 2022/2554 används både för tillsynsändamål och för att förhindra spridning inom den finansiella sektorn, bör väsentlighetströsklarna göra det möjligt att fånga upp allvarliga incidenter genom att bland annat fokusera på inverkan på enhetsspecifika kritiska tjänster, de specifika absoluta och relativa trösklarna för kunder eller finansiella motparter, transaktioner som tyder på en betydande inverkan på den finansiella entiteten och inverkans betydelse i andra medlemsstater.

Incidenter som påverkar IKT-tjänster eller nätverks- och informationssystem som stöder kritiska eller viktiga funktioner, eller finansiella tjänster som kräver godkännande eller skadlig obehörig åtkomst till nätverks- och informationssystem som stöder kritiska eller viktiga funktioner, bör betraktas som incidenter som påverkar de finansiella entiteternas kritiska tjänster. Skadlig, obehörig åtkomst till nätverks- och informationssystem som stöder kritiska eller viktiga funktioner hos finansiella entiteter utgör allvarliga risker för den finansiella entiteten och bör, eftersom de kan påverka andra finansiella entiteter, alltid betraktas som allvarliga incidenter som ska rapporteras.

Återkommande incidenter som är kopplade till varandra genom en liknande uppenbar grundorsak, men som var för sig inte är allvarliga incidenter, kan tyda på betydande brister och svagheter i den finansiella entitetens incident- och riskhanteringsförfaranden. Därför bör återkommande incidenter betraktas som viktiga kollektivt om de inträffar upprepade gånger under en viss tidsperiod.

Med tanke på att cyberhot kan ha en negativ inverkan på den finansiella entiteten och sektorn, bör de betydande cyberhot som finansiella entiteter kan lämna in ange sannolikheten för materialisering och hur kritisk den potentiella inverkan är. För att säkerställa en tydlig och konsekvent bedömning av cyberhotens betydelse bör klassificeringen av ett cyberhot som betydande därför vara beroende av sannolikheten för att klassificeringskriterierna för allvarliga incidenter och deras tröskelvärde skulle uppfyllas om hotet hade materialiserats, av typen av cyberhot och av den information som är tillgänglig för den finansiella entiteten.

Med tanke på att behöriga myndigheter i andra medlemsstater ska underrättas om incidenter som påverkar finansiella entiteter och kunder i deras jurisdiktion, bör bedömningen av påverkan i en annan jurisdiktion i enlighet med artikel 19.7 i förordning (EU) 2022/2554 baseras på grundorsaken till incidenten, på potentiell spridning genom tredjepartsleverantörer och på finansmarknadsinfrastrukturer samt på incidentens inverkan på betydande grupper av kunder eller finansiella motparter.

De rapporterings- och anmälningsförfaranden som avses i artikel 19.6 och 19.7 i förordning (EU) 2022/2554 bör göra det möjligt för respektive mottagare att bedöma incidenternas inverkan. Den översända informationen bör därför omfatta alla uppgifter i de incidentrapporter som den finansiella entiteten lämnar till den behöriga myndigheten.

Om en incident utgör en personuppgiftsincident enligt Europaparlamentets och rådets förordning (EU) 2016/679(⁴) och Europaparlamentets och rådets direktiv 2002/58/EG(⁵) bör den här förordningen inte påverka de skyldigheter att registrera och anmäla personuppgiftsincidenter som fastställs i denna unionslagstiftning. De behöriga myndigheterna bör samarbeta och utbyta information om alla relevanta frågor med de myndigheter som avses i förordning (EU) 2016/679 och direktiv 2002/58/EG.

Denna förordning grundar sig på det förslag till tekniska standarder för tillsyn som de europeiska tillsynsmyndigheterna har överlämnat till kommissionen i samråd med Europeiska unionens cybersäkerhetsbyrå (Enisa) och Europeiska centralbanken (ECB).

Den gemensamma kommittén för de europeiska tillsynsmyndigheterna, som avses i artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1093/2010(⁶), i artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1094/2010(⁷) och i artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1095/2010(⁸), har genomfört öppna offentliga samråd om det förslag till tekniska standarder för tillsyn som den här förordningen grundar sig på, analyserat de potentiella kostnaderna och fördelarna med de föreslagna standarderna och begärt råd från den bankintressentgrupp som inrättats i enlighet med artikel 37 i förordning (EU) nr 1093/2010, den intressentgrupp för försäkring och återförsäkring och den intressentgrupp för tjänstepensioner som inrättats i enlighet med artikel 37 i förordning (EU) nr 1094/2010 samt den intressentgrupp för värdepapper och marknader som inrättats i enlighet med artikel 37 i förordning (EU) nr 1095/2010.

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725(⁹) och avgav ett yttrande den 24 januari 2024.