(1)

Cílem nařízení (EU) 2022/2554 je harmonizovat a zjednodušit požadavky na hlášení incidentů souvisejících s IKT, jakož i provozních nebo bezpečnostních incidentů souvisejících s platbami týkajících se úvěrových institucí, platebních institucí, poskytovatelů služeb informování o účtu a institucí elektronických peněz (dále jen „incidenty“). Vzhledem k tomu, že se požadavky na hlášení vztahují na dvacet různých druhů finančních subjektů, měly by být klasifikační kritéria a prahové hodnoty významnosti pro stanovení závažných incidentů a významných kybernetických hrozeb upřesněny jednoduchým, harmonizovaným a konzistentním způsobem, který zohlední specifika služeb a činností všech příslušných finančních subjektů.

(2)

Aby byla zajištěna proporcionalita, měla by klasifikační kritéria a prahové hodnoty významnosti odrážet velikost a celkový rizikový profil všech finančních subjektů a povahu, rozsah a složitost jejich služeb. Kritéria a prahové hodnoty významnosti by navíc měly být navrženy tak, aby se uplatňovaly jednotně u všech finančních subjektů bez ohledu na jejich velikost a rizikový profil a nepředstavovaly v souvislosti s hlášením nepřiměřenou zátěž pro menší finanční subjekty. Aby se však vyřešily situace, kdy je incidentem, který sám o sobě nepřekračuje použitelnou prahovou hodnotu, dotčen značný počet klientů, měla by být stanovena absolutní prahová hodnota určená především pro větší finanční subjekty.

(3)

V souvislosti s rámci pro hlášení incidentů, které existovaly již před vstupem nařízení (EU) 2022/2554 v platnost, by finančním subjektům měla být zajištěna kontinuita. Klasifikační kritéria a prahové hodnoty významnosti by proto měly být v souladu s obecnými pokyny EBA k hlášení závažných incidentů podle směrnice Evropského parlamentu a Rady (EU) 2015/2366 (2), obecnými pokyny k informacím a oznámením zásadních změn, které mají registry obchodních údajů pravidelně předkládat orgánu ESMA, rámcem jednotného mechanismu dohledu pro hlášení kybernetických incidentů přijatým Evropskou centrální bankou a dalšími příslušnými pokyny a měly by z nich vycházet. Klasifikační kritéria a prahové hodnoty by rovněž měly být vhodné pro finanční subjekty, které před vstupem nařízení (EU) 2022/2554 v platnost žádným požadavkům na hlášení incidentů nepodléhaly.

(4)

Pokud jde o klasifikační kritérium „výše a počet dotčených transakcí“, pojem transakce je široký a zahrnuje různé činnosti a služby, na které se vztahují odvětvové akty použitelné na finanční subjekty. Pro účely tohoto klasifikačního kritéria by měl pojem transakce zahrnovat platební transakce a všechny formy výměny finančních nástrojů, kryptoaktiv, komodit nebo jakýchkoli jiných aktiv, a to i ve formě marže, zajištění nebo zástavy, za hotové peníze nebo jakékoli jiné aktivum. Pro účely klasifikace by se měly brát v úvahu všechny transakce, které zahrnují aktiva, jejichž hodnotu lze vyjádřit peněžní částkou.

(5)

Klasifikační kritéria by měla zajistit, aby byly zachyceny všechny relevantní typy závažných incidentů. Řada klasifikačních kritérií nemusí nutně zachytit kybernetické útoky spojené s vniknutím do sítě nebo informačních systémů. Ty jsou však významné, protože jakékoli vniknutí do sítě a informačních systémů může finančnímu subjektu způsobit újmu. Klasifikační kritéria „dotčené významné služby“ a „ztráty údajů“ by proto měla být upřesněna tak, aby zachytila tyto typy závažných incidentů, zejména neoprávněná vniknutí, která i přesto, že jejich dopady nejsou známy okamžitě, mohou mít závažné důsledky, jako je především porušení zabezpečení údajů a únik údajů.

(6)

Vzhledem k tomu, že úvěrové instituce podléhají jak rámci pro klasifikaci incidentů podle článku 18 nařízení (EU) 2022/2554, tak rámci pro operační riziko podle nařízení Komise v přenesené pravomoci (EU) 2018/959 (3), měl by být přístup k posuzování ekonomického dopadu incidentů na základě výpočtu nákladů a ztrát co nejkonzistentnější v obou rámcích, aby se zabránilo zavedení neslučitelných nebo rozporných požadavků.

(7)

Kritérium týkající se územního rozsahu incidentu stanovené v čl. 18 odst. 1 písm. c) nařízení (EU) 2022/2554 by se mělo zaměřit na přeshraniční dopad incidentu, neboť dopad incidentu na činnosti finančního subjektu v rámci jedné jurisdikce bude zachycen ostatními kritérii stanovenými v uvedeném článku.

(8)

Vzhledem k tomu, že klasifikační kritéria jsou na sobě závislá a vzájemně propojená, měl by být přístup k identifikaci závažných incidentů, které se mají hlásit v souladu s čl. 19 odst. 1 nařízení (EU) 2022/2554, založen na kombinaci kritérií, z nichž by některá kritéria, která úzce souvisí s definicí incidentu souvisejícího s IKT a definicí závažného incidentu souvisejícího s IKT stanovenými v čl. 3 bodech 8 a 10 nařízení (EU) 2022/2554, měla mít při klasifikaci závažných incidentů větší váhu než ostatní kritéria.

(9)

S cílem zajistit, aby zprávy a oznámení o závažných incidentech, které příslušné orgány obdrží podle čl. 19 odst. 1 nařízení (EU) 2022/2554, sloužily pro účely dohledu i prevence šíření nákazy do celého finančního sektoru, by prahové hodnoty významnosti měly umožňovat zachycení závažných incidentů mimo jiné zaměřením na dopad na významné služby jednotlivých subjektů, konkrétní absolutní a relativní prahové hodnoty u klientů nebo finančních protistran, transakce značící významný dopad na finanční subjekt a významnost dopadu v jiných členských státech.

(10)

Incidenty, kterými jsou dotčeny služby IKT nebo síť a informační systémy, jež podporují zásadní nebo důležité funkce, nebo finanční služby vyžadující povolení, anebo zlovolný neoprávněný přístup do sítě a informačních systémů podporujících zásadní nebo důležité funkce by měly být považovány za incidenty dopadající na významné služby finančních subjektů. Zlovolný neoprávněný přístup do sítě a informačních systémů podporujících zásadní nebo důležité funkce finančních subjektů představuje pro finanční subjekt vážná rizika, a jelikož jím mohou být dotčeny i další finanční subjekty, měl by být vždy považován za závažný incident, který se musí hlásit.

(11)

Opakující se incidenty, které k sobě váže obdobná zjevná hlavní příčina a které samostatně nepředstavují závažné incidenty, mohou být známkou podstatných nedostatků a slabých míst v postupech finančního subjektu pro řízení incidentů a rizik. Proto by opakující se incidenty v případě, že k nim dochází opakovaně po určitou dobu, měly být společně považovány za závažné incidenty.

(12)

S ohledem na to, že kybernetické hrozby mohou mít negativní dopad na finanční subjekt a finanční sektor, měly by se u významných kybernetických hrozeb, jež mohou finanční subjekty oznamovat, uvádět pravděpodobnost jejich naplnění a význam jejich potenciálního dopadu. Aby se zajistilo jasné a konzistentní posuzování významnosti kybernetických hrozeb, měla by proto klasifikace kybernetické hrozby jako významné záviset na tom, nakolik je pravděpodobné, že pokud by se hrozba naplnila, byla by splněna kritéria klasifikace incidentů jako závažných a dosaženy související prahové hodnoty, na typu kybernetické hrozby a na informacích, jež má finanční subjekt k dispozici.

(13)

Vzhledem k tomu, že se příslušným orgánům v jiných členských státech mají oznamovat incidenty, které mají dopad na finanční subjekty a zákazníky v jejich jurisdikci, mělo by posouzení dopadu v jiné jurisdikci v souladu s čl. 19 odst. 7 nařízení (EU) 2022/2554 vycházet z hlavní příčiny incidentu, z možného šíření nákazy prostřednictvím poskytovatelů z řad třetích stran a na infrastruktury finančních trhů, jakož i z dopadu incidentu na významné skupiny klientů nebo finančních protistran.

(14)

Procesy hlášení a oznamování uvedené v čl. 19 odst. 6 a 7 nařízení (EU) 2022/2554 by měly příslušným příjemcům umožnit, aby posoudili dopad incidentů. Předávané informace by proto měly zahrnovat všechny údaje obsažené v hlášeních incidentů, která předložil finanční subjekt příslušnému orgánu.

(15)

Pokud incident představuje porušení zabezpečení osobních údajů podle nařízení (EU) 2016/679 a směrnice 2002/58/ES, neměly by být tímto nařízením dotčeny povinnosti týkající se zaznamenávání a oznamování případů porušení zabezpečení osobních údajů stanovené v uvedených právních předpisech Unie. Příslušné orgány by měly spolupracovat a vyměňovat si informace o všech relevantních záležitostech s orgány uvedenými v nařízení Evropského parlamentu a Rady (EU) 2016/679 (4) a směrnici Evropského parlamentu a Rady 2002/58/ES (5).

(16)

Toto nařízení vychází z návrhů regulačních technických norem, které Komisi předložily evropské orgány dohledu po konzultaci s Agenturou Evropské unie pro kybernetickou bezpečnost (ENISA) a Evropskou centrální bankou (ECB).

(17)

Společný výbor evropských orgánů dohledu uvedený v článku 54 nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 (6), v článku 54 nařízení Evropského parlamentu a Rady (EU) č. 1094/2010 (7) a v článku 54 nařízení Evropského parlamentu a Rady (EU) č. 1095/2010 (8) uskutečnil o návrzích regulačních technických norem, z nichž toto nařízení vychází, otevřené veřejné konzultace, analyzoval potenciální náklady a přínosy navrhovaných norem a požádal o stanovisko skupinu subjektů působících v bankovnictví zřízenou podle článku 37 nařízení (EU) č. 1093/2010, skupinu subjektů působících v oblasti pojištění a zajištění a skupinu subjektů působících v oblasti zaměstnaneckého penzijního pojištění zřízené podle článku 37 nařízení (EU) č. 1094/2010 a skupinu subjektů působících v oblasti cenných papírů a trhů zřízenou podle článku 37 nařízení (EU) č. 1095/2010.

(18)

V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (9) byl konzultován evropský inspektor ochrany údajů, který vydal stanovisko dne 24. ledna 2024,