ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ
1.ΠΛΑΙΣΙΟ ΤΗΣ ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΠΡΑΞΗΣ
Ένας από τους στόχους του κανονισμού (ΕΕ) 2022/2554 σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα (στο εξής: DORA) είναι η εναρμόνιση και ο εξορθολογισμός του καθεστώτος αναφοράς συμβάντων που σχετίζονται με τις ΤΠΕ για τις χρηματοοικονομικές οντότητες στην ΕΕ. Για τον σκοπό αυτό, ο DORA θεσπίζει συνεκτικές απαιτήσεις για τις χρηματοοικονομικές οντότητες σχετικά με τη διαχείριση, την ταξινόμηση και την αναφορά συμβάντων που σχετίζονται με τις ΤΠΕ.
Στο πλαίσιο αυτό, το άρθρο 18 παράγραφος 3 του DORA αναθέτει στις Ευρωπαϊκές Εποπτικές Αρχές (ΕΕΑ) να καταρτίζουν, μέσω της μεικτής επιτροπής και σε συνεννόηση με την ΕΚΤ και τον ENISA, κοινά σχέδια ρυθμιστικών τεχνικών προτύπων (ΡΤΠ) προκειμένου να προσδιορίσουν περαιτέρω τα εξής:
α)τα κριτήρια για την ταξινόμηση και τον προσδιορισμό των επιπτώσεων συμβάντων που σχετίζονται με τις ΤΠΕ που καθορίζονται στο άρθρο 18 παράγραφος 1 του DORA, συμπεριλαμβανομένων κατώτατων ορίων σημαντικότητας για τον προσδιορισμό μειζόνων συμβάντων που σχετίζονται με τις ΤΠΕ ή, κατά περίπτωση, μειζόνων λειτουργικών συμβάντων ή συμβάντων ασφάλειας που σχετίζονται με πληρωμές, τα οποία υπόκεινται στην υποχρέωση αναφοράς που προβλέπεται στο άρθρο 19 παράγραφος 1 του DORA,
β)τα κριτήρια που πρέπει να εφαρμόζουν οι αρμόδιες αρχές για την αξιολόγηση της συνάφειας μειζόνων συμβάντων που σχετίζονται με τις ΤΠΕ ή, κατά περίπτωση, μειζόνων λειτουργικών συμβάντων ή συμβάντων ασφάλειας που σχετίζονται με πληρωμές στις σχετικές αρμόδιες αρχές σε άλλα κράτη μέλη, καθώς και τα στοιχεία των αναφορών μειζόνων συμβάντων που σχετίζονται με τις ΤΠΕ ή, κατά περίπτωση, μειζόνων λειτουργικών συμβάντων ή συμβάντων ασφάλειας που σχετίζονται με πληρωμές, τα οποία πρέπει να κοινοποιούνται σε άλλες αρμόδιες αρχές σύμφωνα με το άρθρο 19 παράγραφοι 6 και 7 του DORA, και
γ)τα κριτήρια για την ταξινόμηση των κυβερνοαπειλών ως σημαντικών, συμπεριλαμβανομένων των κατώτατων ορίων υψηλής σημαντικότητας για τον προσδιορισμό σημαντικών κυβερνοαπειλών.
Ο παρών κατ’ εξουσιοδότηση κανονισμός αντιστοιχεί στην εν λόγω εντολή και διαβιβάστηκε στην Επιτροπή στις 17 Ιανουαρίου 2024.
Συνεπώς, ο ENISA και η ΕΚΤ συμμετείχαν στην υποεπιτροπή της μεικτής επιτροπής των ΕΕΑ για την ψηφιακή επιχειρησιακή ανθεκτικότητα.
2.ΔΙΑΒΟΥΛΕΥΣΕΙΣ ΠΡΙΝ ΑΠΟ ΤΗΝ ΕΚΔΟΣΗ ΤΗΣ ΠΡΑΞΗΣ
Στο πλαίσιο της ανάπτυξης των προτύπων που ορίζονται στο παρόν σχέδιο κανονισμού, οι ΕΕΑ δημοσίευσαν τα σχέδια ρυθμιστικών τεχνικών προτύπων στις 19 Ιουνίου 2023 για τρίμηνη περίοδο διαβούλευσης, η οποία έληξε στις 11 Σεπτεμβρίου 2023. Οι ΕΕΑ έλαβαν 105 απαντήσεις από διάφορους συμμετέχοντες στην αγορά σε ολόκληρο τον χρηματοοικονομικό τομέα. Η τελική έκθεση των ΕΕΑ παρέχει πλήρη επισκόπηση των απαντήσεων των ενδιαφερόμενων μερών.
Οι συμμετέχοντες στη δημόσια διαβούλευση σχολίασαν όλες τις πτυχές των προτεινόμενων σχεδίων ρυθμιστικών τεχνικών προτύπων. Τα βασικά ζητήματα που έθιξαν ήταν τα εξής:
·Η προσέγγιση για την ταξινόμηση μειζόνων συμβάντων: Πολλοί συμμετέχοντες στη δημόσια διαβούλευση θεώρησαν ότι η προσέγγιση της ταξινόμησης είναι υπερβολικά περίπλοκη, καθώς η διαδικασία αναφοράς δημιουργεί προκλήσεις για τις χρηματοοικονομικές οντότητες κατά τον χειρισμό των συμβάντων. Ορισμένοι από αυτούς τους συμμετέχοντες πρότειναν επίσης αλλαγές στη στάθμιση των διαφόρων κριτηρίων, οι οποίες ενδέχεται να ταιριάζουν καλύτερα στον αντίστοιχο τομέα τους (π.χ. μετατροπή του κριτηρίου «πελάτες, χρηματοοικονομικοί αντισυμβαλλόμενοι και επηρεαζόμενες συναλλαγές» σε δευτερεύον κριτήριο, αναβάθμιση του κριτηρίου «διάρκεια και χρόνος διακοπής της υπηρεσίας» σε πρωτεύον κριτήριο κ.λπ.). Αρκετοί συμμετέχοντες πρότειναν επίσης η προσέγγιση ταξινόμησης των ρυθμιστικών τεχνικών προτύπων να επικεντρώνεται πιο άμεσα στις επιπτώσεις του συμβάντος.
·Τα κριτήρια ταξινόμησης και τα κατώτατα όρια σημαντικότητας: Τα κριτήρια ταξινόμησης που καθορίζονται στα ρυθμιστικά τεχνικά πρότυπα καλύπτουν τους τομείς «Πελάτες, χρηματοοικονομικοί αντισυμβαλλόμενοι και επηρεαζόμενες συναλλαγές», «Επιπτώσεις στη φήμη», «Διάρκεια και χρόνος διακοπής της υπηρεσίας», «Γεωγραφική εξάπλωση», «Απώλειες δεδομένων», «Κρίσιμες υπηρεσίες που επηρεάζονται» και «Οικονομικές επιπτώσεις». Τα ενδιαφερόμενα μέρη ζήτησαν γενικά περαιτέρω διευκρινίσεις (π.χ. σχετικά με τον τρόπο υπολογισμού των κατώτατων ορίων) και σε αρκετές περιπτώσεις ζήτησαν την αύξηση των κατώτατων ορίων σημαντικότητας.
·Επαναλαμβανόμενα συμβάντα: Πολλοί συμμετέχοντες εξέφρασαν ανησυχίες σχετικά με τη λειτουργική επιβάρυνση που θα συνεπαγόταν η ανάλυση συμβάντων για ομοιότητες, συμπεριλαμβανομένης της σημαντικής χρήσης εσωτερικών πόρων και της δυσκολίας αξιολόγησης των δεδομένων. Ορισμένοι από αυτούς ανέφεραν επίσης προβληματισμούς όσον αφορά την αναλογικότητα, καθώς η απαίτηση αυτή θα επηρέαζε δυσανάλογα τις μικρότερες οντότητες.
·Αναλογικότητα: Τα ενδιαφερόμενα μέρη τόνισαν επίσης τη σημασία να διασφαλιστεί η αναλογικότητα. Επιπλέον, η μεικτή συμβουλευτική επιτροπή των ΕΕΑ για την αναλογικότητα παρείχε επίσης ad hoc συμβουλές σχετικά με τον τρόπο ενίσχυσης της αναλογικότητας των σχεδίων ρυθμιστικών τεχνικών προτύπων.
Υπό το πρίσμα των παρατηρήσεων που ελήφθησαν, οι ΕΕΑ εισήγαγαν αλλαγές στα σχέδια ρυθμιστικών τεχνικών προτύπων. Οι αλλαγές αυτές αφορούσαν την προσέγγιση για την ταξινόμηση, τον καθορισμό ορισμένων κριτηρίων ταξινόμησης και τα οικεία κατώτατα όρια σημαντικότητας, καθώς και την προσέγγιση για τα επαναλαμβανόμενα συμβάντα:
·Όσον αφορά την προσέγγιση για την ταξινόμηση, οι ΕΕΑ τροποποίησαν τα σχέδια ρυθμιστικών τεχνικών προτύπων, ώστε οι χρηματοοικονομικές οντότητες να ταξινομούν τα συμβάντα ως μείζονα εάν πληρούται το κριτήριο «Κρίσιμες υπηρεσίες που επηρεάζονται» και i) εντοπίζεται οποιαδήποτε κακόβουλη μη εξουσιοδοτημένη πρόσβαση σε συστήματα δικτύου και πληροφοριών στο πλαίσιο του κριτηρίου «Απώλεια δεδομένων» ή ii) πληρούνται τα κατώτατα όρια σημαντικότητας οποιωνδήποτε άλλων δύο κριτηρίων.
·Όσον αφορά τα κριτήρια ταξινόμησης και τα κατώτατα όριά τους, διατηρώντας παράλληλα εναρμονισμένη προσέγγιση για την ταξινόμηση συμβάντων για όλες τις χρηματοοικονομικές οντότητες που εμπίπτουν στο πεδίο εφαρμογής του DORA, οι ΕΕΑ αποσαφήνισαν τις διάφορες πτυχές της ταξινόμησης στα κριτήρια και θέσπισαν αλλαγές στα κατώτατα όρια των κριτηρίων «Πελάτες, χρηματοοικονομικοί αντισυμβαλλόμενοι και επηρεαζόμενες συναλλαγές» και «Απώλειες δεδομένων» για την καθιέρωση περαιτέρω αναλογικότητας, την αντιμετώπιση ειδικών ανά τομέα ζητημάτων και την καταγραφή σχετικών συμβάντων στον κυβερνοχώρο.
·Τέλος, για να αντιμετωπιστούν οι ανησυχίες σχετικά με την επιβάρυνση των χρηματοοικονομικών οντοτήτων όσον αφορά την υποβολή αναφορών, οι ΕΕΑ τροποποίησαν την προσέγγιση για την ταξινόμηση επαναλαμβανόμενων συμβάντων, η οποία πλέον επικεντρώνεται σε συμβάντα που έχουν εκδηλωθεί τουλάχιστον δύο φορές, έχουν την ίδια προφανή βαθύτερη αιτία και τα οποία θα πληρούσαν σωρευτικά τα κριτήρια για την ταξινόμηση συμβάντων. Η αξιολόγηση της επανάληψης θα πρέπει να διενεργείται σε μηνιαία βάση.
3.ΝΟΜΙΚΑ ΣΤΟΙΧΕΙΑ ΤΗΣ ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΠΡΑΞΗΣ
Το κεφάλαιο I καθορίζει τα κριτήρια για την ταξινόμηση συμβάντων όσον αφορά τους πελάτες, τους χρηματοοικονομικούς αντισυμβαλλομένους και τις συναλλαγές (άρθρο 1), τις επιπτώσεις στη φήμη (άρθρο 2), τη διάρκεια και τον χρόνο διακοπής της υπηρεσίας (άρθρο 3), τη γεωγραφική εξάπλωση (άρθρο 4), τις απώλειες δεδομένων (άρθρο 5), την κρισιμότητα των υπηρεσιών που επηρεάζονται (άρθρο 6) και τις οικονομικές επιπτώσεις (άρθρο 7).
Το κεφάλαιο II καθορίζει τις προϋποθέσεις για την ταξινόμηση ενός συμβάντος ως μείζονος και τον τρόπο χειρισμού επαναλαμβανόμενων συμβάντων (άρθρο 8) και τα σχετικά κατώτατα όρια σημαντικότητας (άρθρο 9).
Το κεφάλαιο III καλύπτει σημαντικές κυβερνοαπειλές, καθορίζοντας τα κατώτατα όρια σημαντικότητας για να προσδιορίζεται πότε μια κυβερνοαπειλή είναι σημαντική (άρθρο 10).
Το κεφάλαιο IV θεσπίζει κανόνες για τον προσδιορισμό του αν ένα μείζον συμβάν είναι σημαντικό για τις αρμόδιες αρχές άλλων κρατών μελών (άρθρο 11) και για τον τρόπο ανταλλαγής λεπτομερειών για μείζονα συμβάντα με άλλες αρμόδιες αρχές (άρθρο 12).
Το κεφάλαιο V περιλαμβάνει τις τελικές διατάξεις σχετικά με την έναρξη ισχύος (άρθρο 13).
ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) …/... ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 13.3.2024
για τη συμπλήρωση του κανονισμού (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά τα ρυθμιστικά τεχνικά πρότυπα για τον προσδιορισμό των κριτηρίων ταξινόμησης συμβάντων που σχετίζονται με τις ΤΠΕ και κυβερνοαπειλών, τον καθορισμό κατώτατων ορίων σημαντικότητας και τον προσδιορισμό των λεπτομερειών των αναφορών μειζόνων συμβάντων
(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη τον κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011, και ιδίως το άρθρο 18 παράγραφος 4 τρίτο εδάφιο,
Εκτιμώντας τα ακόλουθα:
(1)Ο κανονισμός (ΕΕ) 2022/2554 αποσκοπεί στην εναρμόνιση και τον εξορθολογισμό των απαιτήσεων αναφοράς για συμβάντα που σχετίζονται με τις ΤΠΕ και για λειτουργικά συμβάντα ή συμβάντα ασφάλειας που σχετίζονται με πληρωμές, τα οποία αφορούν πιστωτικά ιδρύματα, ιδρύματα πληρωμών, παρόχους υπηρεσιών πληροφοριών λογαριασμού και ιδρύματα ηλεκτρονικού χρήματος (στο εξής: συμβάντα). Δεδομένου ότι οι απαιτήσεις αναφοράς καλύπτουν 20 διαφορετικά είδη χρηματοοικονομικών οντοτήτων, τα κριτήρια ταξινόμησης και τα κατώτατα όρια σημαντικότητας για τον προσδιορισμό μειζόνων συμβάντων και σημαντικών κυβερνοαπειλών θα πρέπει να προσδιορίζονται με απλό, εναρμονισμένο και συνεπή τρόπο που να λαμβάνει υπόψη τις ιδιαιτερότητες των υπηρεσιών και των δραστηριοτήτων όλων των σχετικών χρηματοοικονομικών οντοτήτων.
(2)Προκειμένου να διασφαλιστεί η αναλογικότητα, τα κριτήρια ταξινόμησης και τα κατώτατα όρια σημαντικότητας θα πρέπει να αντικατοπτρίζουν το μέγεθος και το συνολικό προφίλ κινδύνου, καθώς και τη φύση, την κλίμακα και την πολυπλοκότητα των υπηρεσιών όλων των χρηματοοικονομικών οντοτήτων. Επιπλέον, τα κριτήρια και τα όρια σημαντικότητας θα πρέπει να σχεδιάζονται κατά τέτοιον τρόπο ώστε να εφαρμόζονται με συνέπεια σε όλες τις χρηματοοικονομικές οντότητες, ανεξάρτητα από το μέγεθος και το προφίλ κινδύνου τους, και να μη συνεπάγονται δυσανάλογη επιβάρυνση όσον αφορά την υποβολή αναφορών για τις μικρότερες χρηματοοικονομικές οντότητες. Ωστόσο, προκειμένου να αντιμετωπιστούν καταστάσεις στις οποίες σημαντικός αριθμός πελατών επηρεάζεται από συμβάν το οποίο δεν υπερβαίνει καθαυτό το εφαρμοστέο όριο, θα πρέπει να καθοριστεί απόλυτο κατώτατο όριο που θα απευθύνεται κυρίως σε μεγαλύτερες χρηματοοικονομικές οντότητες.
(3)Όσον αφορά τα πλαίσια αναφοράς συμβάντων, τα οποία υπήρχαν πριν από την έναρξη ισχύος του κανονισμού (ΕΕ) 2022/2554, θα πρέπει να διασφαλιστεί η συνέχεια για τις χρηματοοικονομικές οντότητες. Ως εκ τούτου, τα κριτήρια ταξινόμησης και τα κατώτατα όρια σημαντικότητας θα πρέπει να ευθυγραμμίζονται και να εμπνέονται από τις κατευθυντήριες γραμμές της ΕΑΤ για την αναφορά μειζόνων συμβάντων σύμφωνα με την οδηγία (ΕΕ) 2366/2015 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, τις κατευθυντήριες γραμμές για την περιοδική ενημέρωση και κοινοποίηση σημαντικών αλλαγών που πρέπει να υποβάλλονται στην ESMA από τα αρχεία καταγραφής συναλλαγών, το πλαίσιο της ΕΚΤ / του ΕΕΜ για την αναφορά συμβάντων στον κυβερνοχώρο και άλλες σχετικές κατευθυντήριες γραμμές. Τα κριτήρια ταξινόμησης και τα κατώτατα όρια θα πρέπει επίσης να είναι κατάλληλα για τις χρηματοοικονομικές οντότητες που δεν υπόκειντο σε απαιτήσεις αναφοράς συμβάντων πριν από τον κανονισμό (ΕΕ) 2022/2554.
(4)Όσον αφορά το κριτήριο ταξινόμησης «ύψος και αριθμός των συναλλαγών που επηρεάζονται», η έννοια των συναλλαγών είναι ευρεία και καλύπτει διαφορετικές δραστηριότητες και υπηρεσίες σε όλες τις τομεακές πράξεις που εφαρμόζονται στις χρηματοοικονομικές οντότητες. Για τους σκοπούς του εν λόγω κριτηρίου ταξινόμησης, θα πρέπει να καλύπτονται οι πράξεις πληρωμής και όλες οι μορφές ανταλλαγής χρηματοπιστωτικών μέσων, κρυπτοστοιχείων, εμπορευμάτων ή οποιουδήποτε άλλου περιουσιακού στοιχείου, επίσης υπό μορφή περιθωρίου, εξασφάλισης ή ενεχύρου, τόσο έναντι μετρητών όσο και έναντι οποιουδήποτε άλλου περιουσιακού στοιχείου. Για τους σκοπούς της ταξινόμησης θα πρέπει να λαμβάνονται υπόψη όλες οι συναλλαγές που αφορούν περιουσιακά στοιχεία των οποίων η αξία μπορεί να εκφραστεί σε χρηματικό ποσό.
(5)Τα κριτήρια ταξινόμησης θα πρέπει να διασφαλίζουν ότι λαμβάνονται υπόψη όλοι οι σχετικοί τύποι μειζόνων συμβάντων. Οι κυβερνοεπιθέσεις που σχετίζονται με παρείσφρηση σε συστήματα δικτύου ή πληροφοριών ενδέχεται να μην καλύπτονται κατ’ ανάγκη από πολλά κριτήρια ταξινόμησης. Ωστόσο, είναι σημαντικές, δεδομένου ότι οποιαδήποτε παρείσφρηση στα συστήματα δικτύου και πληροφοριών μπορεί να βλάψει τη χρηματοοικονομική οντότητα. Ως εκ τούτου, τα κριτήρια ταξινόμησης «κρίσιμες υπηρεσίες που επηρεάζονται» και «απώλειες δεδομένων» θα πρέπει να προσδιοριστούν κατά τρόπο ώστε να αποτυπώνονται αυτοί οι τύποι μειζόνων συμβάντων, και ειδικότερα οι μη εξουσιοδοτημένες εισβολές οι οποίες, ακόμη και αν οι επιπτώσεις δεν είναι άμεσα γνωστές, ενδέχεται να έχουν σοβαρές συνέπειες, ιδίως παραβιάσεις δεδομένων και διαρροές δεδομένων.
(6)Δεδομένου ότι τα πιστωτικά ιδρύματα υπόκεινται τόσο στο πλαίσιο ταξινόμησης των συμβάντων βάσει του άρθρου 18 του κανονισμού (ΕΕ) 2022/2554 όσο και στο πλαίσιο λειτουργικού κινδύνου βάσει του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2018/959 της Επιτροπής, η προσέγγιση για την αξιολόγηση των οικονομικών επιπτώσεων ενός συμβάντος με βάση τον υπολογισμό των δαπανών και των ζημιών θα πρέπει να συνάδει, στον μεγαλύτερο δυνατό βαθμό, με αμφότερα τα πλαίσια, ώστε να αποφεύγεται η θέσπιση μη συμβατών ή αντικρουόμενων απαιτήσεων.
(7)Το κριτήριο σε σχέση με τη γεωγραφική εξάπλωση ενός συμβάντος που ορίζεται στο άρθρο 18 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2022/2554 θα πρέπει να επικεντρώνεται στον διασυνοριακό αντίκτυπο του συμβάντος, δεδομένου ότι ο αντίκτυπος ενός συμβάντος στις δραστηριότητες μιας χρηματοοικονομικής οντότητας εντός μιας ενιαίας δικαιοδοσίας θα αποτυπώνεται στα άλλα κριτήρια που ορίζονται στο εν λόγω άρθρο.
(8)Δεδομένου ότι τα κριτήρια ταξινόμησης είναι αλληλεξαρτώμενα και συνδεδεμένα μεταξύ τους, η προσέγγιση για τον εντοπισμό μειζόνων συμβάντων που πρέπει να αναφέρονται σύμφωνα με το άρθρο 19 παράγραφος 1 του κανονισμού (ΕΕ) 2022/2554 θα πρέπει να βασίζεται σε συνδυασμό κριτηρίων, όπου κατά την ταξινόμηση των μειζόνων συμβάντων θα πρέπει να δίνεται μεγαλύτερη έμφαση σε ορισμένα κριτήρια που συνδέονται στενά με τους ορισμούς ενός συμβάντος που σχετίζεται με τις ΤΠΕ και ενός μείζονος συμβάντος που σχετίζεται με τις ΤΠΕ, όπως ορίζονται στο άρθρο 3 σημεία 8) και 10) του κανονισμού (ΕΕ) 2022/2554, από ό,τι σε άλλα κριτήρια.
(9)Προκειμένου να διασφαλιστεί ότι οι αναφορές και οι κοινοποιήσεις μειζόνων συμβάντων που λαμβάνουν οι αρμόδιες αρχές σύμφωνα με το άρθρο 19 παράγραφος 1 του κανονισμού (ΕΕ) 2022/2554 εξυπηρετούν τόσο εποπτικούς σκοπούς όσο και την πρόληψη της μετάδοσης σε ολόκληρο τον χρηματοοικονομικό τομέα, τα κατώτατα όρια σημαντικότητας θα πρέπει να καθιστούν δυνατή την αποτύπωση μειζόνων συμβάντων, εστιάζοντας, μεταξύ άλλων, στις επιπτώσεις σε συγκεκριμένες κρίσιμες υπηρεσίες της οντότητας, στα συγκεκριμένα απόλυτα και σχετικά κατώτατα όρια των πελατών ή των χρηματοοικονομικών αντισυμβαλλομένων, στις συναλλαγές που υποδηλώνουν σημαντικό αντίκτυπο στη χρηματοοικονομική οντότητα και στη σημασία του αντικτύπου σε άλλα κράτη μέλη.
(10)Τα συμβάντα που επηρεάζουν υπηρεσίες ΤΠΕ ή συστήματα δικτύου και πληροφοριών τα οποία υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, ή χρηματοοικονομικές υπηρεσίες που απαιτούν εξουσιοδότηση ή κακόβουλη μη εξουσιοδοτημένη πρόσβαση σε συστήματα δικτύου και πληροφοριών που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, θα πρέπει να θεωρούνται συμβάντα που επηρεάζουν τις κρίσιμες υπηρεσίες των χρηματοοικονομικών οντοτήτων. Η κακόβουλη, μη εξουσιοδοτημένη πρόσβαση σε συστήματα δικτύου και πληροφοριών που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες των χρηματοοικονομικών οντοτήτων ενέχει σοβαρούς κινδύνους για τη χρηματοοικονομική οντότητα και, δεδομένου ότι ενδέχεται να επηρεάσει άλλες χρηματοοικονομικές οντότητες, θα πρέπει πάντοτε να θεωρείται μείζον συμβάν που πρέπει να αναφέρεται.
(11)Επαναλαμβανόμενα συμβάντα που συνδέονται μέσω παρόμοιας προφανούς βαθύτερης αιτίας, τα οποία μεμονωμένα δεν είναι μείζονα συμβάντα, μπορούν να υποδηλώνουν σημαντικές ελλείψεις και αδυναμίες στις διαδικασίες διαχείρισης συμβάντων και κινδύνων της χρηματοοικονομικής οντότητας. Ως εκ τούτου, τα επαναλαμβανόμενα συμβάντα θα πρέπει να θεωρούνται συλλογικά μείζονα συμβάντα όταν εκδηλώνονται επανειλημμένα κατά τη διάρκεια συγκεκριμένου χρονικού διαστήματος.
(12)Δεδομένου ότι οι κυβερνοαπειλές μπορούν να έχουν αρνητικό αντίκτυπο στη χρηματοοικονομική οντότητα και στον χρηματοοικονομικό τομέα, οι σημαντικές κυβερνοαπειλές που μπορούν να υποβάλουν οι χρηματοοικονομικές οντότητες θα πρέπει να υποδηλώνουν την πιθανότητα υλοποίησης και την κρισιμότητα των δυνητικών επιπτώσεων. Ως εκ τούτου, για να διασφαλιστεί η σαφής και συνεπής αξιολόγηση της σημασίας των κυβερνοαπειλών, η ταξινόμηση μιας κυβερνοαπειλής ως σημαντικής θα πρέπει να εξαρτάται από την πιθανότητα να πληρούνται τα κριτήρια ταξινόμησης για μείζονα συμβάντα και το κατώτατο όριό τους εάν η απειλή είχε υλοποιηθεί, από το είδος της κυβερνοαπειλής και από τις πληροφορίες που έχει στη διάθεσή της η χρηματοοικονομική οντότητα.
(13)Δεδομένου ότι οι αρμόδιες αρχές σε άλλα κράτη μέλη πρέπει να ενημερώνονται για συμβάντα που επηρεάζουν χρηματοοικονομικές οντότητες και πελάτες εντός της δικαιοδοσίας τους, η εκτίμηση των επιπτώσεων σε άλλη δικαιοδοσία σύμφωνα με το άρθρο 19 παράγραφος 7 του κανονισμού (ΕΕ) 2022/2554 θα πρέπει να βασίζεται στη βαθύτερη αιτία του συμβάντος, στην πιθανή μετάδοση μέσω τρίτων παρόχων και στις υποδομές των χρηματοπιστωτικών αγορών, καθώς και στον αντίκτυπο του συμβάντος σε σημαντικές ομάδες πελατών ή χρηματοοικονομικών αντισυμβαλλομένων.
(14)Οι διαδικασίες αναφοράς και κοινοποίησης που αναφέρονται στο άρθρο 19 παράγραφοι 6 και 7 του κανονισμού (ΕΕ) 2022/2554 θα πρέπει να παρέχουν τη δυνατότητα στους αντίστοιχους αποδέκτες να εκτιμούν τις επιπτώσεις των συμβάντων. Ως εκ τούτου, οι πληροφορίες που διαβιβάζονται θα πρέπει να καλύπτουν όλες τις λεπτομέρειες που περιέχονται στις αναφορές συμβάντων που υποβάλλει η χρηματοοικονομική οντότητα στην αρμόδια αρχή.
(15)Όταν ένα συμβάν συνιστά παραβίαση δεδομένων προσωπικού χαρακτήρα σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 και την οδηγία 2002/58/ΕΚ, ο παρών κανονισμός δεν θα πρέπει να επηρεάζει τις υποχρεώσεις καταγραφής και κοινοποίησης για παραβιάσεις δεδομένων προσωπικού χαρακτήρα που ορίζονται στην εν λόγω ενωσιακή νομοθεσία. Οι αρμόδιες αρχές θα πρέπει να συνεργάζονται και να ανταλλάσσουν πληροφορίες σχετικά με όλα τα σχετικά θέματα με τις αρχές που αναφέρονται στον κανονισμό (ΕΕ) 2016/679 και στην οδηγία 2002/58/ΕΚ.
(16)Ο παρών κανονισμός βασίζεται στα σχέδια ρυθμιστικών τεχνικών προτύπων που υπέβαλαν στην Επιτροπή οι Ευρωπαϊκές Εποπτικές Αρχές, σε συνεννόηση με τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) και την Ευρωπαϊκή Κεντρική Τράπεζα (ΕΚΤ).
(17)Η μεικτή επιτροπή των Ευρωπαϊκών Εποπτικών Αρχών που αναφέρεται στο άρθρο 54 του κανονισμού (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, στο άρθρο 54 του κανονισμού (ΕΕ) αριθ. 1094/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου και στο άρθρο 54 του κανονισμού (ΕΕ) αριθ. 1095/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου διενήργησε ανοικτές δημόσιες διαβουλεύσεις σχετικά με τα σχέδια ρυθμιστικών τεχνικών προτύπων στα οποία βασίζεται ο παρών κανονισμός, ανέλυσε το δυνητικό κόστος και τα οφέλη των προτεινόμενων προτύπων και ζήτησε συμβουλές από την ομάδα τραπεζικών συμφεροντούχων που συστάθηκε σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1093/2010, την ομάδα συμφεροντούχων ασφαλίσεων και αντασφαλίσεων και την ομάδα συμφεροντούχων ταμείων επαγγελματικών συνταξιοδοτικών παροχών που συστάθηκαν σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1094/2010 και την ομάδα συμφεροντούχων κινητών αξιών και αγορών που συστάθηκε σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1095/2010.
(18)Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, ο οποίος γνωμοδότησε στις 24 Ιανουαρίου 2024,
ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:
Κεφάλαιο I
Κριτήρια ταξινόμησης
Άρθρο 1
Πελάτες, χρηματοοικονομικοί αντισυμβαλλόμενοι και συναλλαγές
1.Ο αριθμός των πελατών που επηρεάζονται από το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2022/2554, αντικατοπτρίζει τον αριθμό όλων των επηρεαζόμενων πελατών, είτε πρόκειται για φυσικά είτε για νομικά πρόσωπα, οι οποίοι δεν είναι ή δεν ήταν σε θέση να χρησιμοποιήσουν την υπηρεσία που παρέχει η χρηματοοικονομική οντότητα κατά τη διάρκεια του συμβάντος ή που επηρεάστηκαν δυσμενώς από το συμβάν. Ο αριθμός αυτός περιλαμβάνει επίσης τρίτα μέρη τα οποία καλύπτονται ρητά από τη συμβατική συμφωνία μεταξύ της χρηματοοικονομικής οντότητας και του πελάτη ως δικαιούχοι της επηρεαζόμενης υπηρεσίας.
2.Ο αριθμός των χρηματοοικονομικών αντισυμβαλλομένων που επηρεάζονται από το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2022/2554, αντικατοπτρίζει τον αριθμό όλων των επηρεαζόμενων χρηματοοικονομικών αντισυμβαλλομένων που έχουν συνάψει συμβατική ρύθμιση με τη χρηματοοικονομική οντότητα.
3.Όσον αφορά τη συνάφεια των πελατών και χρηματοοικονομικών αντισυμβαλλομένων που επηρεάζονται από το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2022/2554, η χρηματοοικονομική οντότητα λαμβάνει υπόψη τον βαθμό στον οποίο οι επιπτώσεις σε πελάτη ή χρηματοοικονομικό αντισυμβαλλόμενο θα επηρεάσουν την υλοποίηση των επιχειρηματικών στόχων της χρηματοοικονομικής οντότητας, καθώς και τον δυνητικό αντίκτυπο του συμβάντος στην αποδοτικότητα της αγοράς.
4.Όσον αφορά το ύψος ή τον αριθμό των συναλλαγών που επηρεάζονται από το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2022/2554, η χρηματοοικονομική οντότητα λαμβάνει υπόψη όλες τις επηρεαζόμενες συναλλαγές που αφορούν χρηματικό ποσό, όταν τουλάχιστον ένα μέρος της συναλλαγής πραγματοποιείται στην Ένωση.
5.Όταν δεν μπορεί να προσδιοριστεί ο πραγματικός αριθμός των επηρεαζόμενων πελατών ή χρηματοοικονομικών αντισυμβαλλομένων ή ο πραγματικός αριθμός ή το ύψος των συναλλαγών που επηρεάζονται, η χρηματοοικονομική οντότητα εκτιμά τους εν λόγω αριθμούς ή τα ποσά με βάση τα διαθέσιμα δεδομένα από συγκρίσιμες περιόδους αναφοράς.
Άρθρο 2
Επιπτώσεις στη φήμη
1.Για τους σκοπούς του προσδιορισμού των επιπτώσεων του συμβάντος στη φήμη, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2022/2554, οι χρηματοοικονομικές οντότητες θεωρούν ότι έχουν επέλθει επιπτώσεις στη φήμη όταν πληρούται τουλάχιστον ένα από τα ακόλουθα κριτήρια:
α)το συμβάν αποτυπώνεται στα μέσα ενημέρωσης·
β)το συμβάν έχει οδηγήσει σε επαναλαμβανόμενες καταγγελίες από διάφορους πελάτες ή χρηματοοικονομικούς αντισυμβαλλομένους σχετικά με υπηρεσίες που απευθύνονται σε πελάτες ή κρίσιμες επιχειρηματικές σχέσεις·
γ)η χρηματοοικονομική οντότητα δεν θα είναι σε θέση ή είναι πιθανό να μην είναι σε θέση να ανταποκριθεί στις κανονιστικές απαιτήσεις ως αποτέλεσμα του συμβάντος·
δ)η χρηματοοικονομική οντότητα θα χάσει ή είναι πιθανό να χάσει πελάτες ή χρηματοοικονομικούς αντισυμβαλλομένους με σημαντικές επιπτώσεις στις επιχειρηματικές της δραστηριότητες ως αποτέλεσμα του συμβάντος.
2.Κατά την αξιολόγηση των επιπτώσεων του συμβάντος στη φήμη, οι χρηματοοικονομικές οντότητες λαμβάνουν υπόψη τον βαθμό προβολής που έχει αποκτήσει ή είναι πιθανό να αποκτήσει το συμβάν σε σχέση με κάθε κριτήριο που αναφέρεται στην παράγραφο 1.
Άρθρο 3
Διάρκεια και χρόνος διακοπής της υπηρεσίας
1.Οι χρηματοοικονομικές οντότητες μετρούν τη διάρκεια ενός συμβάντος, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο β) του κανονισμού (ΕΕ) 2022/2554, από τη στιγμή που επέρχεται το συμβάν έως τη στιγμή που επιλύεται.
Όταν οι χρηματοοικονομικές οντότητες δεν είναι σε θέση να προσδιορίσουν τη στιγμή κατά την οποία εκδηλώθηκε το συμβάν, μετρούν τη διάρκεια του συμβάντος από τη στιγμή που εντοπίστηκε. Όταν οι χρηματοοικονομικές οντότητες αντιλαμβάνονται ότι το συμβάν εκδηλώθηκε πριν από τον εντοπισμό του, μετρούν τη διάρκεια από τη στιγμή που το συμβάν καταγράφεται σε αρχεία καταγραφής δικτύου ή συστήματος ή σε άλλες πηγές δεδομένων.
Όταν οι χρηματοοικονομικές οντότητες δεν γνωρίζουν ακόμη πότε θα επιλυθεί το συμβάν ή δεν είναι σε θέση να επαληθεύσουν τις καταγραφές στα αρχεία καταγραφής ή σε άλλες πηγές δεδομένων, εφαρμόζουν εκτιμήσεις.
2.Οι χρηματοοικονομικές οντότητες μετρούν τον χρόνο διακοπής της υπηρεσίας για ένα συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο β) του κανονισμού (ΕΕ) 2022/2554, από τη στιγμή που η υπηρεσία δεν είναι πλήρως ή εν μέρει διαθέσιμη σε πελάτες, χρηματοοικονομικούς αντισυμβαλλομένους ή άλλους εσωτερικούς ή εξωτερικούς χρήστες έως τη στιγμή που οι τακτικές δραστηριότητες ή λειτουργίες έχουν αποκατασταθεί στο επίπεδο της υπηρεσίας που παρασχέθηκε πριν από το συμβάν. Όταν ο χρόνος διακοπής της υπηρεσίας προκαλεί καθυστέρηση στην παροχή της υπηρεσίας μετά την αποκατάσταση των τακτικών δραστηριοτήτων ή λειτουργιών, ο χρόνος διακοπής της υπηρεσίας μετράται από την έναρξη του συμβάντος έως τη στιγμή κατά την οποία παρέχεται πλήρως η εν λόγω καθυστερημένη υπηρεσία.
Όταν οι χρηματοοικονομικές οντότητες δεν είναι σε θέση να προσδιορίσουν τη στιγμή έναρξης του χρόνου διακοπής της υπηρεσίας, μετρούν τον χρόνο διακοπής της υπηρεσίας από τη στιγμή που εντοπίστηκε.
Άρθρο 4
Γεωγραφική εξάπλωση
Για τον σκοπό του προσδιορισμού της γεωγραφικής εξάπλωσης των περιοχών που επηρεάζονται από το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2022/2554, οι χρηματοοικονομικές οντότητες αξιολογούν αν το συμβάν έχει ή είχε επιπτώσεις σε άλλα κράτη μέλη, και ειδικότερα τη σημασία των επιπτώσεων σε σχέση με οποιοδήποτε από τα ακόλουθα:
α)πελάτες και χρηματοοικονομικούς αντισυμβαλλομένους σε άλλα κράτη μέλη·
β)υποκαταστήματα ή άλλες χρηματοοικονομικές οντότητες εντός του ομίλου που ασκούν δραστηριότητες σε άλλα κράτη μέλη·
γ)υποδομές χρηματοπιστωτικών αγορών ή τρίτους παρόχους, που ενδέχεται να επηρεάσουν χρηματοοικονομικές οντότητες σε άλλα κράτη μέλη στα οποία παρέχουν υπηρεσίες, στον βαθμό που οι πληροφορίες αυτές είναι διαθέσιμες.
Άρθρο 5
Απώλειες δεδομένων
Για τον προσδιορισμό των απωλειών δεδομένων που συνεπάγεται το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο δ) του κανονισμού (ΕΕ) 2022/2554, οι χρηματοοικονομικές οντότητες λαμβάνουν υπόψη τα ακόλουθα:
α)όσον αφορά τη διαθεσιμότητα δεδομένων, αν το συμβάν έχει καταστήσει τα δεδομένα που ζητούνται από τη χρηματοοικονομική οντότητα, τους πελάτες της ή τους αντισυμβαλλομένους της προσωρινά ή μόνιμα μη προσβάσιμα ή μη χρησιμοποιήσιμα·
β)όσον αφορά τη γνησιότητα των δεδομένων, αν το συμβάν έχει θέσει σε κίνδυνο την αξιοπιστία της πηγής των δεδομένων·
γ)όσον αφορά την ακεραιότητα των δεδομένων, αν το συμβάν είχε ως αποτέλεσμα τη μη εγκεκριμένη τροποποίηση των δεδομένων που τα κατέστησε ανακριβή ή ελλιπή·
δ)όσον αφορά την εμπιστευτικότητα των δεδομένων, αν το συμβάν είχε ως αποτέλεσμα την πρόσβαση σε δεδομένα από μη εξουσιοδοτημένο μέρος ή σύστημα ή την κοινοποίησή τους σε αυτά.
Άρθρο 6
Κρισιμότητα των επηρεαζόμενων υπηρεσιών
Για τον σκοπό του προσδιορισμού της κρισιμότητας των επηρεαζόμενων υπηρεσιών, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο ε) του κανονισμού (ΕΕ) 2022/2554, οι χρηματοοικονομικές οντότητες αξιολογούν αν το συμβάν:
α)επηρεάζει ή έχει επηρεάσει υπηρεσίες ΤΠΕ ή συστήματα δικτύου και πληροφοριών που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες της χρηματοοικονομικής οντότητας·
β)επηρεάζει ή έχει επηρεάσει χρηματοοικονομικές υπηρεσίες που παρέχονται από τη χρηματοοικονομική οντότητα για τις οποίες απαιτείται εξουσιοδότηση, καταχώριση ή οι οποίες εποπτεύονται από τις αρμόδιες αρχές·
γ)συνιστά ή έχει αποτελέσει επιτυχή, κακόβουλη και μη εξουσιοδοτημένη πρόσβαση στα συστήματα δικτύου και πληροφοριών της χρηματοοικονομικής οντότητας.
Άρθρο 7
Οικονομικές επιπτώσεις
1.Για τον προσδιορισμό των οικονομικών επιπτώσεων του συμβάντος, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο στ) του κανονισμού (ΕΕ) 2022/2554, οι χρηματοοικονομικές οντότητες, χωρίς να συνεκτιμούν την ανάκτηση χρηματικών ποσών, λαμβάνουν υπόψη τα ακόλουθα είδη άμεσων και έμμεσων δαπανών και ζημιών που έχουν υποστεί ως αποτέλεσμα του συμβάντος:
α)απαλλοτρίωση κεφαλαίων ή χρηματοοικονομικών περιουσιακών στοιχείων τα οποία έχουν υπό την ευθύνη τους, συμπεριλαμβανομένης της απώλειας περιουσιακών στοιχείων λόγω κλοπής·
β)δαπάνες αντικατάστασης ή μετεγκατάστασης λογισμικού, υλισμικού ή υποδομής·
γ)δαπάνες προσωπικού, συμπεριλαμβανομένων των δαπανών που συνδέονται με την αντικατάσταση ή τη μετεγκατάσταση του προσωπικού, την πρόσληψη πρόσθετου προσωπικού, την αμοιβή των υπερωριών και την ανάκτηση απολεσθέντων ή μειωμένων δεξιοτήτων·
δ)τέλη λόγω μη συμμόρφωσης με συμβατικές υποχρεώσεις·
ε)έξοδα επανόρθωσης και αποζημίωσης των πελατών·
στ)ζημίες λόγω διαφυγόντων εσόδων·
ζ)δαπάνες που συνδέονται με την εσωτερική και εξωτερική επικοινωνία·
η)έξοδα παροχής συμβουλών, συμπεριλαμβανομένων των δαπανών που συνδέονται με νομικές συμβουλές, εγκληματολογικές υπηρεσίες και υπηρεσίες αποκατάστασης.
2.Οι δαπάνες και οι ζημίες που αναφέρονται στην παράγραφο 1 δεν περιλαμβάνουν το κόστος που είναι αναγκαίο για την καθημερινή λειτουργία της επιχείρησης, και ειδικότερα τα ακόλουθα:
α)δαπάνες γενικής συντήρησης των υποδομών, του εξοπλισμού, του υλισμικού και του λογισμικού, καθώς και δαπάνες για την επικαιροποίηση των δεξιοτήτων του προσωπικού·
β)εσωτερικές ή εξωτερικές δαπάνες για την ενίσχυση της επιχείρησης μετά το συμβάν, συμπεριλαμβανομένων αναβαθμίσεων, βελτιώσεων και πρωτοβουλιών αξιολόγησης κινδύνων·
γ)ασφάλιστρα.
3.Οι χρηματοοικονομικές οντότητες υπολογίζουν τα ποσά των δαπανών και των ζημιών με βάση τα δεδομένα που είναι διαθέσιμα κατά τον χρόνο υποβολής της αναφοράς. Όταν τα πραγματικά ποσά των δαπανών και των ζημιών δεν μπορούν να προσδιοριστούν, οι χρηματοοικονομικές οντότητες υπολογίζουν τα εν λόγω ποσά κατ’ εκτίμηση.
4.Κατά την αξιολόγηση των οικονομικών επιπτώσεων του συμβάντος, οι χρηματοοικονομικές οντότητες αθροίζουν τις δαπάνες και τις ζημίες που αναφέρονται στην παράγραφο 1.
Κεφάλαιο II
Μείζονα συμβάντα και κατώτατα όρια σημαντικότητας
Άρθρο 8
Μείζονα συμβάντα
1.Ένα συμβάν θεωρείται μείζον για τους σκοπούς του άρθρου 19 παράγραφος 1 του κανονισμού (ΕΕ) 2022/2554 όταν έχει επηρεάσει κρίσιμες υπηρεσίες που αναφέρονται στο άρθρο 6 και εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:
α)πληρούται το κατώτατο όριο σημαντικότητας που αναφέρεται στο άρθρο 9 παράγραφος 5 στοιχείο β)·
β)πληρούνται δύο ή περισσότερα από τα άλλα κατώτατα όρια σημαντικότητας που αναφέρονται στα άρθρα 9 παράγραφοι 1 έως 6.
2.Επαναλαμβανόμενα συμβάντα τα οποία μεμονωμένα δεν θεωρούνται μείζον συμβάν σύμφωνα με την παράγραφο 1 θεωρούνται ως ένα μείζον συμβάν εφόσον πληρούν όλες τις ακόλουθες προϋποθέσεις:
α)έχουν εκδηλωθεί τουλάχιστον δύο φορές εντός 6 μηνών·
β)έχουν την ίδια προφανή βαθύτερη αιτία όπως αναφέρεται στο άρθρο 20 στοιχείο β) του κανονισμού (ΕΕ) 2022/2554·
γ)πληρούν συλλογικά τα κριτήρια που ορίζονται στην παράγραφο 1 για να θεωρηθούν μείζον συμβάν.
Οι χρηματοοικονομικές οντότητες αξιολογούν την ύπαρξη επαναλαμβανόμενων συμβάντων σε μηνιαία βάση.
Η παρούσα παράγραφος δεν εφαρμόζεται στις πολύ μικρές επιχειρήσεις και στις χρηματοοικονομικές οντότητες που απαριθμούνται στο άρθρο 16 παράγραφος 1 του κανονισμού (ΕΕ) 2022/2554.
Άρθρο 9
Κατώτατα όρια σημαντικότητας για τον προσδιορισμό μειζόνων συμβάντων
1.Το κατώτατο όριο σημαντικότητας για το κριτήριο «πελάτες, χρηματοοικονομικοί αντισυμβαλλόμενοι και συναλλαγές» πληρούται όταν πληρούται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:
α)ο αριθμός των επηρεαζόμενων πελατών υπερβαίνει το 10 % του συνόλου των πελατών που χρησιμοποιούν την επηρεαζόμενη υπηρεσία·
β)ο αριθμός των επηρεαζόμενων πελατών που χρησιμοποιούν την επηρεαζόμενη υπηρεσία είναι μεγαλύτερος από 100 000·
γ)ο αριθμός των επηρεαζόμενων χρηματοοικονομικών αντισυμβαλλομένων υπερβαίνει το 30 % του συνόλου των χρηματοοικονομικών αντισυμβαλλομένων που ασκούν δραστηριότητες σχετικές με την παροχή της επηρεαζόμενης υπηρεσίας·
δ)ο αριθμός των επηρεαζόμενων συναλλαγών υπερβαίνει το 10 % του ημερήσιου μέσου αριθμού συναλλαγών που πραγματοποιούνται από τη χρηματοοικονομική οντότητα σε σχέση με τη επηρεαζόμενη υπηρεσία·
ε)το ύψος των επηρεαζόμενων συναλλαγών υπερβαίνει το 10 % της ημερήσιας μέσης αξίας των συναλλαγών που πραγματοποιούνται από τη χρηματοοικονομική οντότητα σε σχέση με τη επηρεαζόμενη υπηρεσία·
στ)έχουν επηρεαστεί πελάτες ή χρηματοοικονομικοί αντισυμβαλλόμενοι που έχουν προσδιοριστεί ως συναφείς σύμφωνα με το άρθρο 1 παράγραφος 3.
Όταν δεν μπορεί να προσδιοριστεί ο πραγματικός αριθμός των επηρεαζόμενων πελατών ή χρηματοοικονομικών αντισυμβαλλομένων ή ο πραγματικός αριθμός ή το ύψος των συναλλαγών που επηρεάζονται, η χρηματοοικονομική οντότητα εκτιμά τους εν λόγω αριθμούς ή τα ποσά με βάση τα διαθέσιμα δεδομένα από συγκρίσιμες περιόδους αναφοράς.
2.Το κατώτατο όριο σημαντικότητας για το κριτήριο «επιπτώσεις στη φήμη» πληρούται όταν πληρούται οποιαδήποτε από τις προϋποθέσεις που ορίζονται στο άρθρο 2 στοιχεία α) έως δ).
3.Το κατώτατο όριο σημαντικότητας για το κριτήριο «διάρκεια και χρόνος διακοπής της υπηρεσίας» πληρούται όταν πληρούται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:
α)η διάρκεια του συμβάντος υπερβαίνει τις 24 ώρες·
β)ο χρόνος διακοπής της υπηρεσίας υπερβαίνει τις 2 ώρες για υπηρεσίες ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες.
4.Το κατώτατο όριο σημαντικότητας για το κριτήριο «γεωγραφική εξάπλωση» πληρούται όταν το συμβάν έχει επιπτώσεις σε δύο ή περισσότερα κράτη μέλη σύμφωνα με το άρθρο 4.
5.Το κατώτατο όριο σημαντικότητας για το κριτήριο «απώλειες δεδομένων» πληρούται όταν εκπληρώνεται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:
α)κάθε επίπτωση, όπως αναφέρεται στο άρθρο 5, στη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα ή την εμπιστευτικότητα των δεδομένων έχει ή θα έχει δυσμενείς επιπτώσεις στην υλοποίηση των επιχειρηματικών στόχων της χρηματοοικονομικής οντότητας ή στην ικανότητά της να πληροί τις κανονιστικές απαιτήσεις·
β)τυχόν επιτυχημένη, κακόβουλη και μη εξουσιοδοτημένη πρόσβαση που δεν καλύπτεται από το στοιχείο α) πραγματοποιείται σε συστήματα δικτύου και πληροφοριών, όταν η πρόσβαση αυτή μπορεί να οδηγήσει σε απώλειες δεδομένων.
6.Το κατώτατο όριο σημαντικότητας για το κριτήριο «οικονομικές επιπτώσεις» πληρούται όταν οι δαπάνες και οι ζημίες που υπέστη η χρηματοοικονομική οντότητα λόγω του συμβάντος έχουν υπερβεί ή είναι πιθανό να υπερβούν τα 100 000 EUR.
Κεφάλαιο ΙΙΙ
Σημαντικές κυβερνοαπειλές
Άρθρο 10
Κατώτατα όρια υψηλής σημαντικότητας για τον προσδιορισμό σημαντικών κυβερνοαπειλών
Για τους σκοπούς του άρθρου 18 παράγραφος 2 του κανονισμού (ΕΕ) 2022/2554, μια κυβερνοαπειλή θεωρείται σημαντική όταν πληρούνται όλες οι ακόλουθες προϋποθέσεις:
α)η κυβερνοαπειλή, εάν υλοποιηθεί, θα μπορούσε να επηρεάσει ή θα μπορούσε να έχει επηρεάσει κρίσιμες ή σημαντικές λειτουργίες της χρηματοοικονομικής οντότητας ή θα μπορούσε να επηρεάσει άλλες χρηματοοικονομικές οντότητες, τρίτους παρόχους, πελάτες ή χρηματοοικονομικούς αντισυμβαλλομένους, με βάση τις πληροφορίες που έχει στη διάθεσή της η χρηματοοικονομική οντότητα·
β)η κυβερνοαπειλή έχει μεγάλη πιθανότητα να υλοποιηθεί στη χρηματοοικονομική οντότητα ή σε άλλες χρηματοοικονομικές οντότητες, λαμβάνοντας υπόψη τουλάχιστον τα ακόλουθα στοιχεία:
i)τους ισχύοντες κινδύνους που σχετίζονται με την κυβερνοαπειλή που αναφέρεται στο στοιχείο α), συμπεριλαμβανομένων των πιθανών τρωτών σημείων των συστημάτων της χρηματοοικονομικής οντότητας που μπορούν να αξιοποιηθούν·
ii)τις ικανότητες και την πρόθεση των παραγόντων απειλής στον βαθμό που τις γνωρίζει η χρηματοοικονομική οντότητα·
iii)την εμμονή της απειλής και τυχόν συσσωρευμένες γνώσεις σχετικά με συμβάντα που έχουν επηρεάσει τη χρηματοοικονομική οντότητα ή τον τρίτο πάροχο, τους πελάτες ή τους χρηματοοικονομικούς αντισυμβαλλομένους της·
γ)η κυβερνοαπειλή θα μπορούσε, εάν υλοποιηθεί, να πληροί οποιοδήποτε από τα ακόλουθα:
i)το κριτήριο σχετικά με την κρισιμότητα των υπηρεσιών που ορίζεται στο άρθρο 18 παράγραφος 1 στοιχείο ε) του κανονισμού (ΕΕ) 2022/2554, όπως ορίζεται στο άρθρο 6 του παρόντος κανονισμού·
ii)το κατώτατο όριο σημαντικότητας που προβλέπεται στο άρθρο 9 παράγραφος 1·
iii)το κατώτατο όριο σημαντικότητας που προβλέπεται στο άρθρο 9 παράγραφος 4.
Όταν, ανάλογα με το είδος της κυβερνοαπειλής και τις διαθέσιμες πληροφορίες, η χρηματοοικονομική οντότητα καταλήγει στο συμπέρασμα ότι θα μπορούσαν να πληρούνται τα κατώτατα όρια σημαντικότητας που ορίζονται στο άρθρο 9 παράγραφοι 2, 3, 5 και 6, τα εν λόγω κατώτατα όρια μπορούν επίσης να ληφθούν υπόψη.
Κεφάλαιο IV
Σημασία των μειζόνων συμβάντων για τις αρμόδιες αρχές άλλων κρατών μελών και λεπτομέρειες των αναφορών που πρέπει να κοινοποιούνται σε άλλες αρμόδιες αρχές
Άρθρο 11
Σημασία των μειζόνων συμβάντων για τις αρμόδιες αρχές άλλων κρατών μελών
Η αξιολόγηση του αν το μείζον συμβάν έχει ενδιαφέρον για τις αρμόδιες αρχές άλλων κρατών μελών, όπως αναφέρεται στο άρθρο 19 παράγραφος 7 του κανονισμού (ΕΕ) 2022/2554, βασίζεται στο αν το συμβάν έχει βαθύτερη αιτία που προέρχεται από άλλο κράτος μέλος ή αν το συμβάν έχει ή είχε σημαντικό αντίκτυπο σε άλλο κράτος μέλος σε σχέση με οποιοδήποτε από τα ακόλουθα:
α)πελάτες ή χρηματοοικονομικούς αντισυμβαλλομένους·
β)υποκατάστημα της χρηματοοικονομικής οντότητας ή άλλης χρηματοοικονομικής οντότητας εντός του ομίλου·
γ)υποδομή της χρηματοοικονομικής αγοράς ή τρίτο πάροχο που ενδέχεται να επηρεάσει τις χρηματοοικονομικές οντότητες στις οποίες παρέχουν υπηρεσίες.
Άρθρο 12
Λεπτομέρειες μειζόνων συμβάντων που πρέπει να κοινοποιούνται σε άλλες αρμόδιες αρχές
Οι λεπτομέρειες των μειζόνων συμβάντων που πρέπει να υποβάλλονται από τις αρμόδιες αρχές σε άλλες αρμόδιες αρχές σύμφωνα με το άρθρο 19 παράγραφος 6 του κανονισμού (ΕΕ) 2022/2554 και οι κοινοποιήσεις που πρέπει να υποβάλλονται από την ΕΑΤ, την ESMA ή την EIOPA και την ΕΚΤ στις σχετικές αρμόδιες αρχές άλλων κρατών μελών σύμφωνα με το άρθρο 19 παράγραφος 7 του εν λόγω κανονισμού περιέχουν το ίδιο επίπεδο πληροφοριών, χωρίς ανωνυμοποίηση, με τις κοινοποιήσεις και τις αναφορές μειζόνων συμβάντων που λαμβάνονται από χρηματοοικονομικές οντότητες σύμφωνα με το άρθρο 19 παράγραφος 4 του κανονισμού (ΕΕ) 2022/2554.
Κεφάλαιο V
Τελικές διατάξεις
Άρθρο 13
Έναρξη ισχύος
Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
Βρυξέλλες, 13.3.2024
Για την Επιτροπή
Η Πρόεδρος
Ursula VON DER LEYEN
