Artikel 19 Rapportage van ernstige ICT-gerelateerde incidenten en vrijwillige melding van significante cyberdreigingen

Financiële entiteiten melden overeenkomstig lid 4 van dit artikel ernstige ICT-gerelateerde incidenten aan de relevante bevoegde autoriteit als bedoeld in artikel 46.

Staat een financiële entiteit onder toezicht van meer dan een nationale bevoegde autoriteit als bedoeld in artikel 46, dan wijzen de lidstaten één bevoegde autoriteit aan als de relevante bevoegde autoriteit die verantwoordelijk is voor de uitvoering van de in dit artikel bedoelde functies en taken.

Kredietinstellingen die overeenkomstig artikel 6, lid 4, van Verordening (EU) nr. 1024/2013 als significant zijn geclassificeerd, rapporteren ernstige ICT-gerelateerde incidenten aan de relevante nationale bevoegde autoriteit die overeenkomstig artikel 4 van Richtlijn 2013/36/EU is aangewezen, die dat verslag onverwijld doorzendt aan de ECB.

Voor de toepassing van de eerste alinea stellen financiële entiteiten, na het verzamelen en analyseren van alle relevante informatie, de in lid 4 van dit artikel bedoelde eerste kennisgeving en verslagen op met gebruikmaking van de modellen als bedoeld in artikel 20, en dienen zij deze in bij de bevoegde autoriteit. Indien het technisch niet mogelijk is de eerste kennisgeving met gebruikmaking van het model in te dienen, stellen de financiële entiteiten de bevoegde autoriteit met gebruikmaking van alternatieve middelen daarvan in kennis.

De in lid 4 bedoelde eerste kennisgeving en verslagen bevatten alle informatie die de bevoegde autoriteit nodig heeft om de draagwijdte van het ernstige ICT-gerelateerde incident te bepalen en mogelijke grensoverschrijdende effecten te beoordelen.

Onverminderd de rapportage op grond van de eerste alinea door de financiële entiteit aan de relevante bevoegde autoriteit, kunnen de lidstaten ook bepalen dat sommige of alle financiële entiteiten de in lid 4 van dit artikel bedoelde eerste kennisgeving en verslagen die met gebruikmaking van de in artikel 20 bedoelde modellen zijn opgesteld, eveneens moeten worden verstrekt aan de bevoegde autoriteiten of de computer security incident response teams (CSIRT's) die zijn aangewezen of ingesteld overeenkomstig Richtlijn (EU) 2022/2555.

Financiële entiteiten kunnen significante cyberdreigingen op vrijwillige basis melden aan de relevante bevoegde autoriteit wanneer zij van oordeel zijn dat de dreiging relevant is voor het financiële stelsel, de gebruikers van diensten of de cliënten. De relevante bevoegde autoriteit kan dergelijke informatie aan de in lid 6 genoemde andere relevante autoriteiten verstrekken.

Kredietinstellingen die overeenkomstig artikel 6, lid 4, van Verordening (EU) nr. 1024/2013 als significant zijn geclassificeerd, kunnen op vrijwillige basis significante cyberdreigingen melden aan de relevante nationale bevoegde autoriteit die overeenkomstig artikel 4 van Richtlijn 2013/36/EU is aangewezen, die de melding onverwijld doorzendt aan de ECB.

De lidstaten kunnen bepalen dat de financiële entiteiten die overeenkomstig de eerste alinea op vrijwillige basis kennisgeving doen, die kennisgeving ook kunnen doorsturen naar de overeenkomstig Richtlijn (EU) 2022/2555 aangewezen of ingestelde CSIRT's.

Wanneer een ernstig ICT-gerelateerd incident optreedt en gevolgen heeft voor de financiële belangen van cliënten, stellen financiële entiteiten, zodra zij het incident hebben opgemerkt, hun cliënten onverwijld in kennis van het ernstige ICT-gerelateerde incident en van de maatregelen die zijn genomen om de negatieve gevolgen van een dergelijk incident te beperken.

In het geval van een significante cyberdreiging stellen financiële entiteiten, in voorkomend geval, hun cliënten die mogelijk getroffen zijn in kennis van passende beschermingsmaatregelen die zij kunnen nemen.

Financiële entiteiten dienen, binnen de overeenkomstig artikel 20, eerste alinea, punt a), ii), vast te stellen termijnen, bij de relevante bevoegde autoriteit het volgende in:

Financiële entiteiten mogen de rapportageverplichtingen uit hoofde van dit artikel aan een derde aanbieder van diensten uitbesteden overeenkomstig Unie- en nationaal sectoraal recht. In het geval van een dergelijke uitbesteding blijft de financiële entiteit volledig verantwoordelijk voor het naleven van de vereisten inzake incidentrapportage.

Na ontvangst van de in lid 4 bedoelde eerste kennisgeving en verslagen verstrekt de bevoegde autoriteit tijdig nadere bijzonderheden over het ernstige ICT-gerelateerde incident aan de volgende ontvangers op basis van hun respectieve bevoegdheden:

Na ontvangst van informatie overeenkomstig lid 6 beoordelen de EBA, de ESMA of de Eiopa en de ECB, in overleg met Enisa en in samenwerking met de relevante bevoegde autoriteit, of het ernstige ICT-gerelateerde incident relevant is voor andere bevoegde autoriteiten van andere lidstaten. Na die beoordeling stelt de EBA, de ESMA of de Eiopa de relevante bevoegde autoriteiten van andere lidstaten daarvan zo spoedig mogelijk in kennis. De ECB stelt de leden van het Europees Stelsel van centrale banken in kennis van kwesties die van belang zijn voor het betalingssysteem. Op basis van die kennisgeving nemen de bevoegde autoriteiten, in voorkomend geval, alle nodige maatregelen om de onmiddellijke stabiliteit van het financiële systeem te beschermen.

De overeenkomstig lid 7 van dit artikel door de ESMA te geven kennisgeving doet geen afbreuk aan de verantwoordelijkheid van de bevoegde autoriteit om de bijzonderheden van het ernstige ICT-gerelateerde incident onverwijld aan de relevante autoriteit van de lidstaat van ontvangst door te geven, indien een centrale effectenbewaarinstelling aanzienlijke grensoverschrijdende activiteiten in de lidstaat van ontvangst heeft, het ernstige ICT-gerelateerde incident waarschijnlijk ernstige gevolgen voor de financiële markten van de lidstaat van ontvangst zal hebben en indien de bevoegde autoriteiten samenwerkingsovereenkomsten hebben gesloten voor het toezicht op financiële entiteiten.