Artikel 18 - Klassificering av IKT-relaterade incidenter och cyberhot

Finansiella entiteter ska klassificera IKT-relaterade incidenter och fastställa deras inverkan baserat på följande kriterier:
1. Antalet och/eller betydelsen av kunder eller finansiella motparter som påverkas, och i tillämpliga fall, mängden eller antalet transaktioner som påverkas av den IKT-relaterade incidenten, och om anseendet har påverkats av den IKT-relaterade incidenten.
2. Den IKT-relaterade incidentens varaktighet, inklusive driftstopp.
3. Den geografiska spridningen med avseende på de områden som påverkas av den IKT-relaterade incidenten, särskilt om den påverkar fler än två medlemsstater.
4. De dataförluster som den IKT-relaterade incidenten medför, vad gäller tillgänglighet, äkthet, integritet eller konfidentialitet vad gäller datan
5. De berörda tjänsternas kritikalitet, inbegripet den finansiella entitetens transaktioner och verksamhet.
6. De ekonomiska effekterna, särskilt direkta och indirekta kostnader och förluster, av den IKT-relaterade incidenten i absoluta och relativa tal.
Finansiella entiteter ska klassificera cyberhot som betydande baserat på de hotade tjänsternas kritikalitet, inbegripet den finansiella entitetens transaktioner och verksamhet, antalet och/eller betydelsen av kunder eller finansiella motparter som hotas och den geografiska spridningen av de hotade områdena.
De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med ECB och Enisa, utarbeta gemensamma förslag till tekniska standarder för tillsyn som ytterligare specificerar följande:
1. De kriterier som anges i punkt 1, inbegripet väsentlighetströsklar för att fastställa allvarliga IKT-relaterade incidenter eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter, som omfattas av rapporteringsskyldigheten i artikel 19.1.
2. De kriterier som de behöriga myndigheterna ska tillämpa för att bedöma allvarliga IKT-relaterade incidenters eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenters eller säkerhetsincidenters relevans för de relevanta behöriga myndigheterna i andra medlemsstater och de detaljer i rapporter om allvarliga IKT-relaterade incidenter eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter som ska delas med andra behöriga myndigheter enligt artikel 19.6 och 19.7.
3. De kriterier som anges i punkt 2 i denna artikel, inbegripet höga väsentlighetströsklar för att fastställa betydande cyberhot.
Tillsynsmyndigheterna publicerade utkast till teknisk standard enligt den här artikeln den 19 juni 2023. De slutgiltiga standarderna väntas tillställas kommissionen den 17 januari 2024.
När de europeiska tillsynsmyndigheterna utarbetar de gemensamma förslag till tekniska standarder för tillsyn som avses i punkt 3 i denna artikel ska de ta hänsyn till kriterierna i artikel 4.2 samt internationella standarder, riktlinjer och specifikationer som har utarbetats och offentliggjorts av Enisa, inbegripet, när så är lämpligt, specifikationer för andra ekonomiska sektorer. Vid tillämpningen av kriterierna i artikel 4.2 ska de europeiska tillsynsmyndigheterna vederbörligen beakta behovet av att mikroföretag och små och medelstora företag mobiliserar tillräckliga resurser och tillräcklig kapacitet för att säkerställa att IKT-relaterade incidenter hanteras snabbt.

Tillsynsmyndigheterna ska beakta mirkoföretag och proportionalitet vid utformningen av de tekniska standarderna.

De europeiska tillsynsmyndigheterna ska överlämna dessa gemensamma förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i punkt 3 i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.