Artikel 19 - Rapportering av allvarliga IKT-relaterade incidenter och frivillig anmälan av betydande cyberhot

Förkortad titel

Titeln i innehållsförteckningen för den här artikeln har förkortats på grund av det begränsade utrymmet. Titeln ovan är däremot den ursprungliga.

1. Finansiella entiteter ska rapportera allvarliga IKT-relaterade incidenter till den relevanta behöriga myndighet som avses i artikel 46 i enlighet med punkt 4 i den här artikeln.

   Om en finansiell entitet är föremål för tillsyn av mer än en sådan nationell behörig myndighet som avses i artikel 46 ska medlemsstaterna utse en enda behörig myndighet till relevant behörig myndighet med ansvar för att utföra de funktioner och skyldigheter som föreskrivs i denna artikel.

   Kreditinstitut som klassificeras som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013 ska rapportera allvarliga IKT-relaterade incidenter till den relevanta nationella behöriga myndighet som utsetts i enlighet med artikel 4 i direktiv 2013/36/EU, och myndigheten ska omedelbart översända den rapporten till ECB.

   Vid tillämpning av första stycket ska finansiella entiteter, efter att ha samlat in och analyserat all relevant information, utarbeta den första anmälan och de rapporter som avses i punkt 4 i denna artikel med hjälp av de mallar som avses i artikel 20 och överlämna dem till den behöriga myndigheten. Om det visar sig vara tekniskt omöjligt att överföra den första anmälan med hjälp av mallen ska finansiella entiteter anmäla till den behöriga myndigheten på annat vis.

   Den första anmälan och de rapporter som avses i punkt 4 ska innehålla all information som är nödvändig för att den behöriga myndigheten ska kunna fastställa betydelsen av den allvarliga IKT-relaterade incidenten och bedöma eventuella gränsöverskridande konsekvenser.

   Utan att det påverkar den finansiella entitetens rapportering enligt första stycket till den relevanta behöriga myndigheten får medlemsstaterna även besluta att vissa eller alla finansiella entiteter dessutom till den första anmälan och de rapporter som avses i punkt 4 i denna artikel ska använda de mallar som avses i artikel 20 när de överlämnar anmälan och rapporterna till de behöriga myndigheterna eller de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555.

2. Finansiella entiteter får på frivillig basis rapportera betydande cyberhot till den relevanta behöriga myndigheten, när de anser att hotet är relevant för det finansiella systemet, tjänsteanvändarna eller kunderna. Den relevanta behöriga myndigheten får lämna sådan information till de andra relevanta myndigheter som avses i punkt 6.

   Kreditinstitut som klassificeras som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013 får på frivillig basis rapportera betydande cyberhot till den relevanta nationella behöriga myndighet som utsetts i enlighet med artikel 4 i direktiv 2013/36/EU, och myndigheten ska omedelbart översända den anmälan till ECB.

   Medlemsstaterna får fastställa att de finansiella entiteter som rapporterar på frivillig basis i enlighet med första stycket också får vidarebefordra den anmälan till de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555.

3. Om en allvarlig IKT-relaterad incident inträffar och påverkar kunders ekonomiska intressen ska finansiella entiteter utan onödigt dröjsmål så snart de blir medvetna om den informera sina kunder om den allvarliga IKT-relaterade incidenten och om de åtgärder som har vidtagits för att mildra de negativa effekterna av en sådan incident.

   I händelse av ett betydande cyberhot ska finansiella entiteter, i tillämpliga fall, informera de kunder som kan påverkas om alla lämpliga skyddsåtgärder som de sistnämnda kan överväga att vidta.

4. Finansiella entiteter ska, inom de tidsfrister som ska fastställas i enlighet med artikel 20 första stycket a ii, lämna följande till den relevanta behöriga myndigheten:

   1. En första anmälan.
   2. En delrapport efter den första anmälan som avses i led a, så snart statusen för den ursprungliga incidenten har förändrats avsevärt eller hanteringen av den allvarliga IKT-relaterade incidenten har förändrats på grund av ny tillgänglig information, när så är lämpligt åtföljd av uppdaterade anmälningar varje gång en relevant statusuppdatering finns tillgänglig, samt på särskild begäran av den behöriga myndigheten.
   3. En slutrapport, när analysen av grundorsakerna har slutförts, oavsett om begränsande åtgärder redan har vidtagits, och när de faktiska påverkanssiffrorna finns tillgängliga för att ersätta uppskattningar.

5. Finansiella entiteter får i enlighet med unionsrätten och nationell rätt på området utkontraktera rapporteringsskyldigheterna enligt denna artikel till en tredjepartsleverantör av tjänster. Vid sådan utkontraktering bär den finansiella entiteten det fulla ansvaret för efterlevnaden av incidentrapporteringskraven.

6. Efter mottagandet av den första anmälan och av varje rapport som avses i punkt 4 ska den behöriga myndigheten skyndsamt lämna närmare uppgifter om den allvarliga IKT-relaterade incidenten till följande mottagare, i tillämpliga fall på grundval av deras respektive behörigheter:

   1. EBA, Esma eller Eiopa,
   2. ECB när det gäller de finansiella entiteter som avses i artikel 2.1 a, b och d,
   3. de behöriga myndigheter, de gemensamma kontaktpunkter eller de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555,
   4. de resolutionsmyndigheter som avses i artikel 3 i direktiv 2014/59/EU och den gemensamma resolutionsnämnden när det gäller sådana enheter som avses i artikel 7.2 i Europaparlamentets och rådets förordning (EU) nr 806/2014 (37) och när det gäller sådana enheter och koncerner som avses i artikel 7.4 b och 7.5 i förordning (EU) nr 806/2014 om sådana detaljer gäller incidenter som utgör en risk för säkerställandet av kritiska funktioner i den mening som avses i artikel 2.1.35 i direktiv 2014/59/EU, och
   5. andra relevanta offentliga myndigheter enligt nationell rätt.

7. Efter att ha mottagit information i enlighet med punkt 6 ska EBA, Esma eller Eiopa och ECB, i samråd med Enisa och i samarbete med den relevanta behöriga myndigheten, bedöma huruvida den allvarliga IKT-relaterade incidenten är relevant för behöriga myndigheter i andra medlemsstater. Efter denna bedömning ska EBA, Esma eller Eiopa så snart som möjligt underrätta de relevanta behöriga myndigheterna i andra medlemsstater i ärendet. ECB ska underrätta medlemmarna i Europeiska centralbankssystemet om frågor som är relevanta för betalningssystemet. Baserat på denna underrättelse ska de behöriga myndigheterna vid behov vidta alla nödvändiga åtgärder för att skydda det finansiella systemets omedelbara stabilitet.

8. Den anmälan som Esma ska göra enligt punkt 7 i denna artikel ska inte påverka den behöriga myndighetens skyldighet att skyndsamt översända uppgifterna om den allvarliga IKT-relaterade incidenten till den relevanta myndigheten i värdmedlemsstaten, om en värdepapperscentral har betydande gränsöverskridande verksamhet i värdmedlemsstaten, om den allvarliga IKT-relaterade incidenten sannolikt kommer att medföra allvarliga konsekvenser för finansmarknaderna i värdmedlemsstaten och om det finns samarbetsarrangemang mellan behöriga myndigheter som gäller tillsynen av finansiella entiteter.