Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:Artikel 18 Classificatie van ICT-gerelateerde incidenten en cyberdreigingen

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 18 Classificatie van ICT-gerelateerde incidenten en cyberdreigingen

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Financiële entiteiten classificeren ICT-gerelateerde incidenten en bepalen de effecten daarvan op basis van de volgende criteria:

a)

het aantal en/of de relevantie van cliënten of financiële tegenpartijen en, indien van toepassing, de hoeveelheid of het aantal transacties die door het ICT-gerelateerde incident zijn getroffen, en de vraag of het ICT-gerelateerde incident reputatieschade heeft veroorzaakt;

b)

de duur van het ICT-gerelateerde incident, waaronder de uitvaltijd van de dienst;

c)

de geografische spreiding van de gebieden die door het ICT-gerelateerde incident zijn getroffen, met name indien meer dan twee lidstaten zijn getroffen;

d)

de gegevensverliezen ten gevolge van het ICT-gerelateerde incident met betrekking tot beschikbaarheid, authenticiteit, integriteit or vertrouwelijkheid van gegevens;

e)

de mate waarin de getroffen diensten, waaronder de transacties en verrichtingen van de financiële entiteit, als cruciaal kunnen worden aangemerkt;

f)

de economische effecten, met name directe en indirecte kosten en verliezen, van het ICT-gerelateerde incident in absolute en relatieve termen.

2.

Financiële entiteiten classificeren cyberdreigingen als significant op basis van de mate waarin de risicovolle diensten, waaronder de transacties en verrichtingen van de financiële entiteit, als cruciaal kunnen worden aangemerkt, het aantal en/of de relevantie van de beoogde cliënten of financiële tegenpartijen en de geografische spreiding van de risicogebieden.

3.

De ETA's stellen via het Gemengd Comité en in overleg met de ECB en Enisa gemeenschappelijke ontwerpen van technische reguleringsnormen op waarin het volgende nader wordt gespecificeerd:

a)

de criteria vastgesteld in lid 1, met inbegrip van materialiteitsdrempels voor het bepalen van ernstige ICT-gerelateerde incidenten of, indien van toepassing, ernstige betalingsgerelateerde operationele of beveiligingsincidenten waarvoor de rapportageverplichting van artikel 19, lid 1, geldt;

b)

de door de bevoegde autoriteiten toe te passen criteria voor de beoordeling van de relevantie van ernstige ICT-gerelateerde incidenten of, indien van toepassing, ernstige betalingsgerelateerde operationele of beveiligingsincidenten voor relevante bevoegde autoriteiten van andere lidstaten, en de nadere informatie van verslagen over ernstige ICT-gerelateerde incidenten of, indien van toepassing, ernstige betalingsgerelateerde operationele of beveiligingsincidenten die overeenkomstig artikel 19, leden 6 en 7, aan andere bevoegde autoriteiten moeten worden meegedeeld;

c)

de criteria van lid 2 van dit artikel, met inbegrip van hoge materialiteitsdrempels voor het bepalen van significante cyberdreigingen.

4.

Bij het opstellen van de in lid 3 van dit artikel bedoelde gemeenschappelijke ontwerpen van technische reguleringsnormen houden de ETA's rekening met de criteria van artikel 4, lid 2, en met internationale normen, richtsnoeren en specificaties die door Enisa zijn ontwikkeld en gepubliceerd, met inbegrip van, in voorkomend geval, specificaties voor andere economische sectoren. Voor de toepassing van de criteria van artikel 4, lid 2, houden de ETA's er terdege rekening mee dat micro-ondernemingen en kleine en middelgrote ondernemingen voldoende middelen en capaciteit moeten kunnen mobiliseren om ICT-gerelateerde incidenten snel onder controle te krijgen.

De ETA's leggen die gemeenschappelijke ontwerpen van technische reguleringsnormen uiterlijk op 17 januari 2024 voor aan de Commissie.

Aan de Commissie wordt de bevoegdheid gedelegeerd om deze verordening aan te vullen door de in lid 3 bedoelde technische reguleringsnormen overeenkomstig de artikelen 10 tot en met 14 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010 vast te stellen.

Deze functie is alleen te gebruiken als je bent ingelogd.