Source: OJ L, 2024/2690, 18.10.2024

Artikel 3 Betydande incidenter

Summary What does Article 3 of the Cybersecurity measures and significant incidents for relevant entities say?

This is a foundational article that defines when an incident crosses the threshold of being "significant" — a classification that triggers the reporting obligations under Article 23(3) of Directive (EU) 2022/2555.

Rather than applying a single test, it sets out a broad set of cross-cutting criteria applicable to all relevant entities, covering financial impact, harm to persons, trade secret exfiltration, and malicious unauthorised access.

Crucially, it also gates through to Articles 4 and 5–14, meaning it acts as the central hub connecting to both the aggregation rule for repeated incidents and the sector-specific significance thresholds that follow.

Important points:

Assess whether an incident is significant by checking it against any one of the listed criteria — only one needs to be met for the threshold to be triggered.
Scheduled service interruptions and planned maintenance consequences are explicitly excluded from being classified as significant incidents.
When calculating impacted users for the sector-specific thresholds in Articles 7 and 9–14, include both direct contracted customers and the natural and legal persons associated with business customers using the service.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. När det gäller de berörda entiteterna ska en incident anses som betydande vid tillämpningen av artikel 23.3 i direktiv (EU) 2022/2555 om ett eller flera av följande kriterier är uppfyllda:
  1. Incidenten har orsakat eller kan orsaka en ekonomisk förlust för den berörda entiteten som överstiger 500 000 euro eller 5 % av den berörda entitetens totala årsomsättning under föregående räkenskapsår, beroende på vilket som är lägst.
  2. Incidenten har orsakat eller kan orsaka att företagshemligheter enligt artikel 2.1 i direktiv (EU) 2016/943 exfiltreras från den berörda entiteten.
  3. Incidenten har orsakat eller kan orsaka en fysisk persons dödsfall.
  4. Incidenten har orsakat eller kan orsaka betydande skador på en fysisk persons hälsa.
  5. En framgångsrik, misstänkt skadlig och obehörig åtkomst till nätverks- och informationssystem har inträffat och kan orsaka allvarliga driftsstörningar.
  6. Incidenten uppfyller de kriterier som anges i artikel 4.
  7. Incidenten uppfyller ett eller flera av de kriterier som anges i artiklarna 5–14.
1. Planerade avbrott av tjänsten och planerade konsekvenser av planerat underhåll som utförs av de berörda entiteterna eller på deras vägnar ska inte anses som betydande incidenter.
1. När de berörda entiteterna beräknar antalet användare som påverkas av en incident vid tillämpningen av artiklarna 7 och 9–14 ska de beakta samtliga följande aspekter:
  1. Antalet kunder som har ett avtal med den berörda entiteten som ger dem tillgång till den berörda entitetens nätverks- och informationssystem eller tjänster som erbjuds av, eller är tillgängliga via, dessa nätverks- och informationssystem.
  2. Antalet fysiska och juridiska personer kopplade till företagskunder som använder entiteternas nätverks- och informationssystem eller tjänster som erbjuds av, eller är tillgängliga via, dessa nätverks- och informationssystem.

Relevant recitals

Skäl 30 Criteria for significant incidents

I denna förordning anges närmare de fall då en incident bör anses som betydande vid tillämpningen av artikel 23.3 i direktiv (EU) 2022/2555. Kriterierna bör vara sådana att berörda entiteter kan bedöma om en incident är betydande, för att anmäla incidenten i enlighet med direktiv (EU) 2022/2555. De kriterier som fastställs i denna förordning bör vidare anses som uttömmande, utan att det påverkar tillämpningen av artikel 5 i direktiv (EU) 2022/2555. I denna förordning specificeras i vilka fall som en incident bör anses som betydande, genom fastställandet av både övergripande och entitetsspecifika fall.

Skäl 31 Notification of significant incidents

I enlighet med artikel 23.4 i direktiv (EU) 2022/2555 bör de berörda entiteterna vara skyldiga att anmäla betydande incidenter inom de tidsfrister som fastställs i den bestämmelsen. Dessa tidsfrister börjar löpa vid den tidpunkt då entiteten får kännedom om sådana betydande incidenter. Den berörda entiteten är därför skyldig att rapportera incidenter som, baserat på dess inledande bedömning, skulle kunna orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten eller påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada. När en berörd entitet har upptäckt en misstänkt händelse, eller efter att den har uppmärksammats på en potentiell incident av en tredje part, såsom en individ, en kund, en entitet, en myndighet, en medieorganisation eller en annan källa, bör den berörda entiteten därför i rätt tid bedöma den misstänkta händelsen för att fastställa om den utgör en incident och om så är fallet fastställa dess art och allvarlighetsgrad. Den berörda entiteten anses därför ha fått ”kännedom” om den betydande incidenten när den, efter en sådan inledande bedömning, med en rimlig grad av säkerhet har fastställt att en betydande incident har ägt rum.

Skäl 32 Identifying significant incidents

För att fastställa om en incident är betydande bör de berörda entiteterna, när så är relevant, räkna antalet användare som påverkas av incidenten, med beaktande av företagskunder och slutkunder med vilka de berörda entiteterna har ett avtalsförhållande samt fysiska och juridiska personer som är kopplade till företagskunder. Om en berörd entitet inte kan beräkna antalet användare som påverkas bör den berörda entitetens uppskattning av det möjliga högsta antalet påverkade användare beaktas för beräkningen av det totala antal användare som påverkas av incidenten. Betydelsen av en incident som involverar en betrodd tjänst bör inte bara fastställas baserat på antalet användare utan även på antalet förlitande parter, eftersom dessa kan påverkas lika mycket av en betydande incident som involverar en betrodd tjänst när det gäller driftsstörning och materiell eller immateriell skada. Därför bör leverantörer av betrodda tjänster, om tillämpligt, även ta hänsyn till antalet förlitande parter när de fastställer om en incident är betydande. I detta sammanhang bör förlitande parter förstås som fysiska eller juridiska personer som förlitar sig på en betrodd tjänst.

Skäl 33 Scheduled downtime

Underhållsarbeten som leder till begränsad tillgänglighet eller otillgänglighet för tjänsten bör inte anses som betydande incidenter om tjänstens begränsade tillgänglighet eller otillgänglighet inträffar i enlighet med en planerad underhållsinsats. Om en tjänst är otillgänglig på grund av planerade avbrott såsom avbrott eller otillgänglighet som baseras på förutbestämda avtalsenliga överenskommelser bör inte heller det anses som en betydande incident.

Skäl 34 Duration of incidents

Varaktigheten för en incident som påverkar tillgången till en tjänst bör mätas från den tidpunkt då det korrekta tillhandahållandet av tjänsten avbryts till tidpunkten för återställningen. Om en berörd entitet inte kan fastställa det ögonblick då störningen inleddes bör incidentens varaktighet mätas från det ögonblick då incidenten upptäcktes eller från det ögonblick då incidenten registrerades i nätverks- eller systemloggar eller andra datakällor, beroende på vilket som inträffar först.

Skäl 35 Complete unavailability

Total otillgänglighet till en tjänst bör mätas från det ögonblick då tjänsten blir helt otillgänglig för användare till det ögonblick då reguljär verksamhet eller drift har återställts till den tjänstenivå som tillhandhölls före incidenten. Om en berörd entitet inte kan fastställa när en tjänsts totala otillgänglighet inleddes bör otillgängligheten mätas från det ögonblick då den upptäcktes av den entiteten.

Skäl 36 Direct financial losses

När det gäller att fastställa de direkta ekonomiska förlusterna till följd av en incident bör berörda entiteter ta hänsyn till alla ekonomiska förluster som incidenten har orsakat för dem, såsom kostnaderna för utbyte eller omlokalisering av programvara, maskinvara eller infrastruktur, personalkostnader – inklusive kostnader i samband med ersättning eller omplacering av personal, rekrytering av extra personal, övertidsersättning och återställande av förlorad eller försämrad kompetens, avgifter på grund av att avtalsförpliktelserna inte har fullgjorts, kostnader för gottgörelse och ersättning till kunder, förluster på grund av uteblivna intäkter, kostnader för intern och extern kommunikation, rådgivningskostnader – inklusive kostnader i samband med juridisk rådgivning, kriminaltekniska tjänster och saneringstjänster – samt andra kostnader kopplade till incidenten. Straffavgifter och kostnader som är nödvändiga för den dagliga verksamheten bör dock inte anses som ekonomiska förluster till följd av en incident, och detta innefattar kostnader för allmänt underhåll av infrastruktur, utrustning, maskinvara och programvara, åtgärder för att hålla personalens kompetens uppdaterad, interna eller externa kostnader för att förbättra verksamheten efter incidenten, inklusive uppgraderingar, förbättringar och riskbedömningsinitiativ, samt försäkringspremier. De berörda entiteterna bör beräkna de ekonomiska förlustbeloppen på grundval av tillgängliga data, och om de faktiska ekonomiska förlustbeloppen inte kan fastställas bör entiteterna göra en uppskattning.

Skäl 37 Effects on health of natural persons

Berörda entiteter bör också vara skyldiga att rapportera incidenter som har orsakat eller kan orsaka dödsfall för fysiska personer eller betydande skada för fysiska personers hälsa, eftersom sådana incidenter är särskilt allvarliga fall som medför betydande materiell eller immateriell skada. En incident som påverkar en berörd entitet kan exempelvis medföra att hälso- och sjukvårdstjänster eller räddningstjänster inte är tillgängliga, eller orsaka konfidentialitets- eller integritetsförlust för data med konsekvenser för fysiska personers hälsa. Vid fastställandet av om en incident har orsakat eller kan orsaka betydande skada för en fysisk persons hälsa bör de berörda entiteterna ta hänsyn till om incidenten orsakat eller kan orsaka allvarliga fysiska skador och ohälsa. I detta sammanhang bör de berörda entiteterna inte vara skyldiga att inhämta ytterligare information som de inte har tillgång till.

Skäl 38 Limited availability

Begränsad tillgänglighet bör anses förekomma i synnerhet om en tjänst som tillhandahålls av en berörd entitet är betydligt långsammare än den genomsnittliga svarstiden eller om inte alla funktioner hos en tjänst är tillgängliga. När så är möjligt bör objektiva kriterier baserade på den genomsnittliga svarstiden för tjänster som tillhandahålls av de berörda entiteterna användas vid bedömningen av fördröjd svarstid. En tjänsts funktion kan exempelvis vara en chattfunktion eller en bildsökningsfunktion.

Skäl 39 Malicious access

En framgångsrik, misstänkt skadlig och obehörig åtkomst till en berörd entitets nätverks- och informationssystem bör anses som en betydande incident om denna åtkomst kan orsaka allvarliga driftsstörningar. Om exempelvis en cyberhotsaktör i förväg positionerar sig i en berörd entitets nätverks- och informationssystem i syfte att orsaka driftsstörningar i framtiden så ska incidenten anses som betydande.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.