Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32024R1772

    Κατ’ εξουσιοδότηση κανονισμός (ΕΕ) 2024/1772 της Επιτροπής, της 13ης Μαρτίου 2024, για τη συμπλήρωση του κανονισμού (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά τα ρυθμιστικά τεχνικά πρότυπα για τον προσδιορισμό των κριτηρίων ταξινόμησης συμβάντων που σχετίζονται με τις ΤΠΕ και κυβερνοαπειλών, τον καθορισμό κατώτατων ορίων σημαντικότητας και τον προσδιορισμό των λεπτομερειών των αναφορών μειζόνων συμβάντων

    C/2024/1519

    ΕΕ L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj

    European flag

    Επίσημη Εφημερίδα
    της Ευρωπαϊκής Ένωσης

    EL

    Σειρά L

    2024/1772

    25.6.2024

    ΚΑΤ’ ΕΞΟΥΣΙΟΔΟΤΗΣΗ ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2024/1772 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

    της 13ης Μαρτίου 2024

    για τη συμπλήρωση του κανονισμού (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά τα ρυθμιστικά τεχνικά πρότυπα για τον προσδιορισμό των κριτηρίων ταξινόμησης συμβάντων που σχετίζονται με τις ΤΠΕ και κυβερνοαπειλών, τον καθορισμό κατώτατων ορίων σημαντικότητας και τον προσδιορισμό των λεπτομερειών των αναφορών μειζόνων συμβάντων

    (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

    Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

    Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

    Έχοντας υπόψη τον κανονισμό (ΕΕ) 2022/2554 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Δεκεμβρίου 2022, σχετικά με την ψηφιακή επιχειρησιακή ανθεκτικότητα του χρηματοοικονομικού τομέα και την τροποποίηση των κανονισμών (ΕΚ) αριθ. 1060/2009, (ΕΕ) αριθ. 648/2012, (ΕΕ) αριθ. 600/2014, (ΕΕ) αριθ. 909/2014 και (ΕΕ) 2016/1011 (1), και ιδίως το άρθρο 18 παράγραφος 4 τρίτο εδάφιο,

    Εκτιμώντας τα ακόλουθα:

    (1)

    Ο κανονισμός (ΕΕ) 2022/2554 αποσκοπεί στην εναρμόνιση και τον εξορθολογισμό των απαιτήσεων αναφοράς για συμβάντα που σχετίζονται με τις ΤΠΕ και για λειτουργικά συμβάντα ή συμβάντα ασφάλειας που σχετίζονται με πληρωμές, τα οποία αφορούν πιστωτικά ιδρύματα, ιδρύματα πληρωμών, παρόχους υπηρεσιών πληροφοριών λογαριασμού και ιδρύματα ηλεκτρονικού χρήματος (στο εξής: συμβάντα). Δεδομένου ότι οι απαιτήσεις αναφοράς καλύπτουν 20 διαφορετικά είδη χρηματοοικονομικών οντοτήτων, τα κριτήρια ταξινόμησης και τα κατώτατα όρια σημαντικότητας για τον προσδιορισμό μειζόνων συμβάντων και σημαντικών κυβερνοαπειλών θα πρέπει να προσδιορίζονται με απλό, εναρμονισμένο και συνεπή τρόπο που να λαμβάνει υπόψη τις ιδιαιτερότητες των υπηρεσιών και των δραστηριοτήτων όλων των σχετικών χρηματοοικονομικών οντοτήτων.

    (2)

    Προκειμένου να διασφαλιστεί η αναλογικότητα, τα κριτήρια ταξινόμησης και τα κατώτατα όρια σημαντικότητας θα πρέπει να αντικατοπτρίζουν το μέγεθος και το συνολικό προφίλ κινδύνου, καθώς και τη φύση, την κλίμακα και την πολυπλοκότητα των υπηρεσιών όλων των χρηματοοικονομικών οντοτήτων. Επιπλέον, τα κριτήρια και τα όρια σημαντικότητας θα πρέπει να σχεδιάζονται κατά τέτοιον τρόπο ώστε να εφαρμόζονται με συνέπεια σε όλες τις χρηματοοικονομικές οντότητες, ανεξάρτητα από το μέγεθος και το προφίλ κινδύνου τους, και να μη συνεπάγονται δυσανάλογη επιβάρυνση όσον αφορά την υποβολή αναφορών για τις μικρότερες χρηματοοικονομικές οντότητες. Ωστόσο, προκειμένου να αντιμετωπιστούν καταστάσεις στις οποίες σημαντικός αριθμός πελατών επηρεάζεται από συμβάν το οποίο δεν υπερβαίνει καθαυτό το εφαρμοστέο όριο, θα πρέπει να καθοριστεί απόλυτο κατώτατο όριο που θα απευθύνεται κυρίως σε μεγαλύτερες χρηματοοικονομικές οντότητες.

    (3)

    Όσον αφορά τα πλαίσια αναφοράς συμβάντων, τα οποία υπήρχαν πριν από την έναρξη ισχύος του κανονισμού (ΕΕ) 2022/2554, θα πρέπει να διασφαλιστεί η συνέχεια για τις χρηματοοικονομικές οντότητες. Ως εκ τούτου, τα κριτήρια ταξινόμησης και τα κατώτατα όρια σημαντικότητας θα πρέπει να ευθυγραμμίζονται και να εμπνέονται από τις κατευθυντήριες γραμμές της ΕΑΤ για την αναφορά μειζόνων συμβάντων σύμφωνα με την οδηγία (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (2), τις κατευθυντήριες γραμμές για την περιοδική ενημέρωση και κοινοποίηση σημαντικών αλλαγών που πρέπει να υποβάλλονται στην ESMA από τα αρχεία καταγραφής συναλλαγών, το πλαίσιο της ΕΚΤ/του ΕΕΜ για την αναφορά συμβάντων στον κυβερνοχώρο και άλλες σχετικές κατευθυντήριες γραμμές. Τα κριτήρια ταξινόμησης και τα κατώτατα όρια θα πρέπει επίσης να είναι κατάλληλα για τις χρηματοοικονομικές οντότητες που δεν υπόκειντο σε απαιτήσεις αναφοράς συμβάντων πριν από τον κανονισμό (ΕΕ) 2022/2554.

    (4)

    Όσον αφορά το κριτήριο ταξινόμησης «ύψος και αριθμός των συναλλαγών που επηρεάζονται», η έννοια των συναλλαγών είναι ευρεία και καλύπτει διαφορετικές δραστηριότητες και υπηρεσίες σε όλες τις τομεακές πράξεις που εφαρμόζονται στις χρηματοοικονομικές οντότητες. Για τους σκοπούς του εν λόγω κριτηρίου ταξινόμησης, θα πρέπει να καλύπτονται οι πράξεις πληρωμής και όλες οι μορφές ανταλλαγής χρηματοπιστωτικών μέσων, κρυπτοστοιχείων, εμπορευμάτων ή οποιουδήποτε άλλου περιουσιακού στοιχείου, επίσης υπό μορφή περιθωρίου, εξασφάλισης ή ενεχύρου, τόσο έναντι μετρητών όσο και έναντι οποιουδήποτε άλλου περιουσιακού στοιχείου. Για τους σκοπούς της ταξινόμησης θα πρέπει να λαμβάνονται υπόψη όλες οι συναλλαγές που αφορούν περιουσιακά στοιχεία των οποίων η αξία μπορεί να εκφραστεί σε χρηματικό ποσό.

    (5)

    Τα κριτήρια ταξινόμησης θα πρέπει να διασφαλίζουν ότι λαμβάνονται υπόψη όλοι οι σχετικοί τύποι μειζόνων συμβάντων. Οι κυβερνοεπιθέσεις που σχετίζονται με παρείσφρηση σε συστήματα δικτύου ή πληροφοριών ενδέχεται να μην καλύπτονται κατ’ ανάγκη από πολλά κριτήρια ταξινόμησης. Ωστόσο, είναι σημαντικές, δεδομένου ότι οποιαδήποτε παρείσφρηση στα συστήματα δικτύου και πληροφοριών μπορεί να βλάψει τη χρηματοοικονομική οντότητα. Ως εκ τούτου, τα κριτήρια ταξινόμησης «κρίσιμες υπηρεσίες που επηρεάζονται» και «απώλειες δεδομένων» θα πρέπει να προσδιοριστούν κατά τρόπο ώστε να αποτυπώνονται αυτοί οι τύποι μειζόνων συμβάντων, και ειδικότερα οι μη εξουσιοδοτημένες εισβολές οι οποίες, ακόμη και αν οι επιπτώσεις δεν είναι άμεσα γνωστές, ενδέχεται να έχουν σοβαρές συνέπειες, ιδίως παραβιάσεις δεδομένων και διαρροές δεδομένων.

    (6)

    Δεδομένου ότι τα πιστωτικά ιδρύματα υπόκεινται τόσο στο πλαίσιο ταξινόμησης των συμβάντων βάσει του άρθρου 18 του κανονισμού (ΕΕ) 2022/2554 όσο και στο πλαίσιο λειτουργικού κινδύνου βάσει του κατ’ εξουσιοδότηση κανονισμού (ΕΕ) 2018/959 της Επιτροπής (3), η προσέγγιση για την αξιολόγηση των οικονομικών επιπτώσεων ενός συμβάντος με βάση τον υπολογισμό των δαπανών και των ζημιών θα πρέπει να συνάδει, στον μεγαλύτερο δυνατό βαθμό, με αμφότερα τα πλαίσια, ώστε να αποφεύγεται η θέσπιση μη συμβατών ή αντικρουόμενων απαιτήσεων.

    (7)

    Το κριτήριο σε σχέση με τη γεωγραφική εξάπλωση ενός συμβάντος που ορίζεται στο άρθρο 18 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2022/2554 θα πρέπει να επικεντρώνεται στον διασυνοριακό αντίκτυπο του συμβάντος, δεδομένου ότι ο αντίκτυπος ενός συμβάντος στις δραστηριότητες μιας χρηματοοικονομικής οντότητας εντός μιας ενιαίας δικαιοδοσίας θα αποτυπώνεται στα άλλα κριτήρια που ορίζονται στο εν λόγω άρθρο.

    (8)

    Δεδομένου ότι τα κριτήρια ταξινόμησης είναι αλληλεξαρτώμενα και συνδεδεμένα μεταξύ τους, η προσέγγιση για τον εντοπισμό μειζόνων συμβάντων που πρέπει να αναφέρονται σύμφωνα με το άρθρο 19 παράγραφος 1 του κανονισμού (ΕΕ) 2022/2554 θα πρέπει να βασίζεται σε συνδυασμό κριτηρίων, όπου κατά την ταξινόμηση των μειζόνων συμβάντων θα πρέπει να δίνεται μεγαλύτερη έμφαση σε ορισμένα κριτήρια που συνδέονται στενά με τους ορισμούς ενός συμβάντος που σχετίζεται με τις ΤΠΕ και ενός μείζονος συμβάντος που σχετίζεται με τις ΤΠΕ, όπως ορίζονται στο άρθρο 3 σημεία 8) και 10) του κανονισμού (ΕΕ) 2022/2554, από ό,τι σε άλλα κριτήρια.

    (9)

    Προκειμένου να διασφαλιστεί ότι οι αναφορές και οι κοινοποιήσεις μειζόνων συμβάντων που λαμβάνουν οι αρμόδιες αρχές σύμφωνα με το άρθρο 19 παράγραφος 1 του κανονισμού (ΕΕ) 2022/2554 εξυπηρετούν τόσο εποπτικούς σκοπούς όσο και την πρόληψη της μετάδοσης σε ολόκληρο τον χρηματοοικονομικό τομέα, τα κατώτατα όρια σημαντικότητας θα πρέπει να καθιστούν δυνατή την αποτύπωση μειζόνων συμβάντων, εστιάζοντας, μεταξύ άλλων, στις επιπτώσεις σε συγκεκριμένες κρίσιμες υπηρεσίες της οντότητας, στα συγκεκριμένα απόλυτα και σχετικά κατώτατα όρια των πελατών ή των χρηματοοικονομικών αντισυμβαλλομένων, στις συναλλαγές που υποδηλώνουν σημαντικό αντίκτυπο στη χρηματοοικονομική οντότητα και στη σημασία του αντικτύπου σε άλλα κράτη μέλη.

    (10)

    Τα συμβάντα που επηρεάζουν υπηρεσίες ΤΠΕ ή συστήματα δικτύου και πληροφοριών τα οποία υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, ή χρηματοοικονομικές υπηρεσίες που απαιτούν εξουσιοδότηση ή κακόβουλη μη εξουσιοδοτημένη πρόσβαση σε συστήματα δικτύου και πληροφοριών που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες, θα πρέπει να θεωρούνται συμβάντα που επηρεάζουν τις κρίσιμες υπηρεσίες των χρηματοοικονομικών οντοτήτων. Η κακόβουλη, μη εξουσιοδοτημένη πρόσβαση σε συστήματα δικτύου και πληροφοριών που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες των χρηματοοικονομικών οντοτήτων ενέχει σοβαρούς κινδύνους για τη χρηματοοικονομική οντότητα και, δεδομένου ότι ενδέχεται να επηρεάσει άλλες χρηματοοικονομικές οντότητες, θα πρέπει πάντοτε να θεωρείται μείζον συμβάν που πρέπει να αναφέρεται.

    (11)

    Επαναλαμβανόμενα συμβάντα που συνδέονται μέσω παρόμοιας προφανούς βαθύτερης αιτίας, τα οποία μεμονωμένα δεν είναι μείζονα συμβάντα, μπορούν να υποδηλώνουν σημαντικές ελλείψεις και αδυναμίες στις διαδικασίες διαχείρισης συμβάντων και κινδύνων της χρηματοοικονομικής οντότητας. Ως εκ τούτου, τα επαναλαμβανόμενα συμβάντα θα πρέπει να θεωρούνται συλλογικά μείζονα συμβάντα όταν εκδηλώνονται επανειλημμένα κατά τη διάρκεια συγκεκριμένου χρονικού διαστήματος.

    (12)

    Δεδομένου ότι οι κυβερνοαπειλές μπορούν να έχουν αρνητικό αντίκτυπο στη χρηματοοικονομική οντότητα και στον χρηματοοικονομικό τομέα, οι σημαντικές κυβερνοαπειλές που μπορούν να υποβάλουν οι χρηματοοικονομικές οντότητες θα πρέπει να υποδηλώνουν την πιθανότητα υλοποίησης και την κρισιμότητα των δυνητικών επιπτώσεων. Ως εκ τούτου, για να διασφαλιστεί η σαφής και συνεπής αξιολόγηση της σημασίας των κυβερνοαπειλών, η ταξινόμηση μιας κυβερνοαπειλής ως σημαντικής θα πρέπει να εξαρτάται από την πιθανότητα να πληρούνται τα κριτήρια ταξινόμησης για μείζονα συμβάντα και το κατώτατο όριό τους εάν η απειλή είχε υλοποιηθεί, από το είδος της κυβερνοαπειλής και από τις πληροφορίες που έχει στη διάθεσή της η χρηματοοικονομική οντότητα.

    (13)

    Δεδομένου ότι οι αρμόδιες αρχές σε άλλα κράτη μέλη πρέπει να ενημερώνονται για συμβάντα που επηρεάζουν χρηματοοικονομικές οντότητες και πελάτες εντός της δικαιοδοσίας τους, η εκτίμηση των επιπτώσεων σε άλλη δικαιοδοσία σύμφωνα με το άρθρο 19 παράγραφος 7 του κανονισμού (ΕΕ) 2022/2554 θα πρέπει να βασίζεται στη βαθύτερη αιτία του συμβάντος, στην πιθανή μετάδοση μέσω τρίτων παρόχων και στις υποδομές των χρηματοπιστωτικών αγορών, καθώς και στον αντίκτυπο του συμβάντος σε σημαντικές ομάδες πελατών ή χρηματοοικονομικών αντισυμβαλλομένων.

    (14)

    Οι διαδικασίες αναφοράς και κοινοποίησης που αναφέρονται στο άρθρο 19 παράγραφοι 6 και 7 του κανονισμού (ΕΕ) 2022/2554 θα πρέπει να παρέχουν τη δυνατότητα στους αντίστοιχους αποδέκτες να εκτιμούν τις επιπτώσεις των συμβάντων. Ως εκ τούτου, οι πληροφορίες που διαβιβάζονται θα πρέπει να καλύπτουν όλες τις λεπτομέρειες που περιέχονται στις αναφορές συμβάντων που υποβάλλει η χρηματοοικονομική οντότητα στην αρμόδια αρχή.

    (15)

    Όταν ένα συμβάν συνιστά παραβίαση δεδομένων προσωπικού χαρακτήρα σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4) και την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5), ο παρών κανονισμός δεν θα πρέπει να επηρεάζει τις υποχρεώσεις καταγραφής και κοινοποίησης για παραβιάσεις δεδομένων προσωπικού χαρακτήρα που ορίζονται στην εν λόγω ενωσιακή νομοθεσία. Οι αρμόδιες αρχές θα πρέπει να συνεργάζονται και να ανταλλάσσουν πληροφορίες σχετικά με όλα τα σχετικά θέματα με τις αρχές που αναφέρονται στον κανονισμό (ΕΕ) 2016/679 και στην οδηγία 2002/58/ΕΚ.

    (16)

    Ο παρών κανονισμός βασίζεται στα σχέδια ρυθμιστικών τεχνικών προτύπων που υπέβαλαν στην Επιτροπή οι Ευρωπαϊκές Εποπτικές Αρχές, σε συνεννόηση με τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) και την Ευρωπαϊκή Κεντρική Τράπεζα (ΕΚΤ).

    (17)

    Η μεικτή επιτροπή των Ευρωπαϊκών Εποπτικών Αρχών που αναφέρεται στο άρθρο 54 του κανονισμού (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6), στο άρθρο 54 του κανονισμού (ΕΕ) αριθ. 1094/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7) και στο άρθρο 54 του κανονισμού (ΕΕ) αριθ. 1095/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8) διενήργησε ανοικτές δημόσιες διαβουλεύσεις σχετικά με τα σχέδια ρυθμιστικών τεχνικών προτύπων στα οποία βασίζεται ο παρών κανονισμός, ανέλυσε το δυνητικό κόστος και τα οφέλη των προτεινόμενων προτύπων και ζήτησε συμβουλές από την ομάδα τραπεζικών συμφεροντούχων που συστάθηκε σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1093/2010, την ομάδα συμφεροντούχων ασφαλίσεων και αντασφαλίσεων και την ομάδα συμφεροντούχων ταμείων επαγγελματικών συνταξιοδοτικών παροχών που συστάθηκαν σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1094/2010 και την ομάδα συμφεροντούχων κινητών αξιών και αγορών που συστάθηκε σύμφωνα με το άρθρο 37 του κανονισμού (ΕΕ) αριθ. 1095/2010.

    (18)

    Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9), ο οποίος γνωμοδότησε στις 24 Ιανουαρίου 2024,

    ΕΞΕΔΩΣΕ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

    ΚΕΦΑΛΑΙΟ I

    ΚΡΙΤΗΡΙΑ ΤΑΞΙΝΟΜΗΣΗΣ

    Άρθρο 1

    Πελάτες, χρηματοοικονομικοί αντισυμβαλλόμενοι και συναλλαγές

    1.   Ο αριθμός των πελατών που επηρεάζονται από το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2022/2554, αντικατοπτρίζει τον αριθμό όλων των επηρεαζόμενων πελατών, είτε πρόκειται για φυσικά είτε για νομικά πρόσωπα, οι οποίοι δεν είναι ή δεν ήταν σε θέση να χρησιμοποιήσουν την υπηρεσία που παρέχει η χρηματοοικονομική οντότητα κατά τη διάρκεια του συμβάντος ή που επηρεάστηκαν δυσμενώς από το συμβάν. Ο αριθμός αυτός περιλαμβάνει επίσης τρίτα μέρη τα οποία καλύπτονται ρητά από τη συμβατική συμφωνία μεταξύ της χρηματοοικονομικής οντότητας και του πελάτη ως δικαιούχοι της επηρεαζόμενης υπηρεσίας.

    2.   Ο αριθμός των χρηματοοικονομικών αντισυμβαλλομένων που επηρεάζονται από το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2022/2554, αντικατοπτρίζει τον αριθμό όλων των επηρεαζόμενων χρηματοοικονομικών αντισυμβαλλομένων που έχουν συνάψει συμβατική ρύθμιση με τη χρηματοοικονομική οντότητα.

    3.   Όσον αφορά τη συνάφεια των πελατών και χρηματοοικονομικών αντισυμβαλλομένων που επηρεάζονται από το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2022/2554, η χρηματοοικονομική οντότητα λαμβάνει υπόψη τον βαθμό στον οποίο οι επιπτώσεις σε πελάτη ή χρηματοοικονομικό αντισυμβαλλόμενο θα επηρεάσουν την υλοποίηση των επιχειρηματικών στόχων της χρηματοοικονομικής οντότητας, καθώς και τον δυνητικό αντίκτυπο του συμβάντος στην αποδοτικότητα της αγοράς.

    4.   Όσον αφορά το ύψος ή τον αριθμό των συναλλαγών που επηρεάζονται από το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2022/2554, η χρηματοοικονομική οντότητα λαμβάνει υπόψη όλες τις επηρεαζόμενες συναλλαγές που αφορούν χρηματικό ποσό, όταν τουλάχιστον ένα μέρος της συναλλαγής πραγματοποιείται στην Ένωση.

    5.   Όταν δεν μπορεί να προσδιοριστεί ο πραγματικός αριθμός των επηρεαζόμενων πελατών ή χρηματοοικονομικών αντισυμβαλλομένων ή ο πραγματικός αριθμός ή το ύψος των συναλλαγών που επηρεάζονται, η χρηματοοικονομική οντότητα εκτιμά τους εν λόγω αριθμούς ή τα ποσά με βάση τα διαθέσιμα δεδομένα από συγκρίσιμες περιόδους αναφοράς.

    Άρθρο 2

    Επιπτώσεις στη φήμη

    1.   Για τους σκοπούς του προσδιορισμού των επιπτώσεων του συμβάντος στη φήμη, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο α) του κανονισμού (ΕΕ) 2022/2554, οι χρηματοοικονομικές οντότητες θεωρούν ότι έχουν επέλθει επιπτώσεις στη φήμη όταν πληρούται τουλάχιστον ένα από τα ακόλουθα κριτήρια:

    α)

    το συμβάν αποτυπώνεται στα μέσα ενημέρωσης·

    β)

    το συμβάν έχει οδηγήσει σε επαναλαμβανόμενες καταγγελίες από διάφορους πελάτες ή χρηματοοικονομικούς αντισυμβαλλομένους σχετικά με υπηρεσίες που απευθύνονται σε πελάτες ή κρίσιμες επιχειρηματικές σχέσεις·

    γ)

    η χρηματοοικονομική οντότητα δεν θα είναι σε θέση ή είναι πιθανό να μην είναι σε θέση να ανταποκριθεί στις κανονιστικές απαιτήσεις ως αποτέλεσμα του συμβάντος·

    δ)

    η χρηματοοικονομική οντότητα θα χάσει ή είναι πιθανό να χάσει πελάτες ή χρηματοοικονομικούς αντισυμβαλλομένους με σημαντικές επιπτώσεις στις επιχειρηματικές της δραστηριότητες ως αποτέλεσμα του συμβάντος.

    2.   Κατά την αξιολόγηση των επιπτώσεων του συμβάντος στη φήμη, οι χρηματοοικονομικές οντότητες λαμβάνουν υπόψη τον βαθμό προβολής που έχει αποκτήσει ή είναι πιθανό να αποκτήσει το συμβάν σε σχέση με κάθε κριτήριο που αναφέρεται στην παράγραφο 1.

    Άρθρο 3

    Διάρκεια και χρόνος διακοπής της υπηρεσίας

    1.   Οι χρηματοοικονομικές οντότητες μετρούν τη διάρκεια ενός συμβάντος, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο β) του κανονισμού (ΕΕ) 2022/2554, από τη στιγμή που επέρχεται το συμβάν έως τη στιγμή που επιλύεται.

    Όταν οι χρηματοοικονομικές οντότητες δεν είναι σε θέση να προσδιορίσουν τη στιγμή κατά την οποία εκδηλώθηκε το συμβάν, μετρούν τη διάρκεια του συμβάντος από τη στιγμή που εντοπίστηκε. Όταν οι χρηματοοικονομικές οντότητες αντιλαμβάνονται ότι το συμβάν εκδηλώθηκε πριν από τον εντοπισμό του, μετρούν τη διάρκεια από τη στιγμή που το συμβάν καταγράφεται σε αρχεία καταγραφής δικτύου ή συστήματος ή σε άλλες πηγές δεδομένων.

    Όταν οι χρηματοοικονομικές οντότητες δεν γνωρίζουν ακόμη πότε θα επιλυθεί το συμβάν ή δεν είναι σε θέση να επαληθεύσουν τις καταγραφές στα αρχεία καταγραφής ή σε άλλες πηγές δεδομένων, εφαρμόζουν εκτιμήσεις.

    2.   Οι χρηματοοικονομικές οντότητες μετρούν τον χρόνο διακοπής της υπηρεσίας για ένα συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο β) του κανονισμού (ΕΕ) 2022/2554, από τη στιγμή που η υπηρεσία δεν είναι πλήρως ή εν μέρει διαθέσιμη σε πελάτες, χρηματοοικονομικούς αντισυμβαλλομένους ή άλλους εσωτερικούς ή εξωτερικούς χρήστες έως τη στιγμή που οι τακτικές δραστηριότητες ή λειτουργίες έχουν αποκατασταθεί στο επίπεδο της υπηρεσίας που παρασχέθηκε πριν από το συμβάν. Όταν ο χρόνος διακοπής της υπηρεσίας προκαλεί καθυστέρηση στην παροχή της υπηρεσίας μετά την αποκατάσταση των τακτικών δραστηριοτήτων ή λειτουργιών, ο χρόνος διακοπής της υπηρεσίας μετράται από την έναρξη του συμβάντος έως τη στιγμή κατά την οποία παρέχεται πλήρως η εν λόγω καθυστερημένη υπηρεσία.

    Όταν οι χρηματοοικονομικές οντότητες δεν είναι σε θέση να προσδιορίσουν τη στιγμή έναρξης του χρόνου διακοπής της υπηρεσίας, μετρούν τον χρόνο διακοπής της υπηρεσίας από τη στιγμή που εντοπίστηκε.

    Άρθρο 4

    Γεωγραφική εξάπλωση

    Για τον σκοπό του προσδιορισμού της γεωγραφικής εξάπλωσης των περιοχών που επηρεάζονται από το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2022/2554, οι χρηματοοικονομικές οντότητες αξιολογούν αν το συμβάν έχει ή είχε επιπτώσεις σε άλλα κράτη μέλη, και ειδικότερα τη σημασία των επιπτώσεων σε σχέση με οποιοδήποτε από τα ακόλουθα:

    α)

    πελάτες και χρηματοοικονομικούς αντισυμβαλλομένους σε άλλα κράτη μέλη·

    β)

    υποκαταστήματα ή άλλες χρηματοοικονομικές οντότητες εντός του ομίλου που ασκούν δραστηριότητες σε άλλα κράτη μέλη·

    γ)

    υποδομές χρηματοπιστωτικών αγορών ή τρίτους παρόχους, που ενδέχεται να επηρεάσουν χρηματοοικονομικές οντότητες σε άλλα κράτη μέλη στα οποία παρέχουν υπηρεσίες, στον βαθμό που οι πληροφορίες αυτές είναι διαθέσιμες.

    Άρθρο 5

    Απώλειες δεδομένων

    Για τον προσδιορισμό των απωλειών δεδομένων που συνεπάγεται το συμβάν, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο δ) του κανονισμού (ΕΕ) 2022/2554, οι χρηματοοικονομικές οντότητες λαμβάνουν υπόψη τα ακόλουθα:

    α)

    όσον αφορά τη διαθεσιμότητα δεδομένων, αν το συμβάν έχει καταστήσει τα δεδομένα που ζητούνται από τη χρηματοοικονομική οντότητα, τους πελάτες της ή τους αντισυμβαλλομένους της προσωρινά ή μόνιμα μη προσβάσιμα ή μη χρησιμοποιήσιμα·

    β)

    όσον αφορά τη γνησιότητα των δεδομένων, αν το συμβάν έχει θέσει σε κίνδυνο την αξιοπιστία της πηγής των δεδομένων·

    γ)

    όσον αφορά την ακεραιότητα των δεδομένων, αν το συμβάν είχε ως αποτέλεσμα τη μη εγκεκριμένη τροποποίηση των δεδομένων που τα κατέστησε ανακριβή ή ελλιπή·

    δ)

    όσον αφορά την εμπιστευτικότητα των δεδομένων, αν το συμβάν είχε ως αποτέλεσμα την πρόσβαση σε δεδομένα από μη εξουσιοδοτημένο μέρος ή σύστημα ή την κοινοποίησή τους σε αυτά.

    Άρθρο 6

    Κρισιμότητα των επηρεαζόμενων υπηρεσιών

    Για τον σκοπό του προσδιορισμού της κρισιμότητας των επηρεαζόμενων υπηρεσιών, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο ε) του κανονισμού (ΕΕ) 2022/2554, οι χρηματοοικονομικές οντότητες αξιολογούν αν το συμβάν:

    α)

    επηρεάζει ή έχει επηρεάσει υπηρεσίες ΤΠΕ ή συστήματα δικτύου και πληροφοριών που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες της χρηματοοικονομικής οντότητας·

    β)

    επηρεάζει ή έχει επηρεάσει χρηματοοικονομικές υπηρεσίες που παρέχονται από τη χρηματοοικονομική οντότητα για τις οποίες απαιτείται εξουσιοδότηση, καταχώριση ή οι οποίες εποπτεύονται από τις αρμόδιες αρχές·

    γ)

    συνιστά ή έχει αποτελέσει επιτυχή, κακόβουλη και μη εξουσιοδοτημένη πρόσβαση στα συστήματα δικτύου και πληροφοριών της χρηματοοικονομικής οντότητας.

    Άρθρο 7

    Οικονομικές επιπτώσεις

    1.   Για τον προσδιορισμό των οικονομικών επιπτώσεων του συμβάντος, όπως αναφέρεται στο άρθρο 18 παράγραφος 1 στοιχείο στ) του κανονισμού (ΕΕ) 2022/2554, οι χρηματοοικονομικές οντότητες, χωρίς να συνεκτιμούν την ανάκτηση χρηματικών ποσών, λαμβάνουν υπόψη τα ακόλουθα είδη άμεσων και έμμεσων δαπανών και ζημιών που έχουν υποστεί ως αποτέλεσμα του συμβάντος:

    α)

    απαλλοτρίωση κεφαλαίων ή χρηματοοικονομικών περιουσιακών στοιχείων τα οποία έχουν υπό την ευθύνη τους, συμπεριλαμβανομένης της απώλειας περιουσιακών στοιχείων λόγω κλοπής·

    β)

    δαπάνες αντικατάστασης ή μετεγκατάστασης λογισμικού, υλισμικού ή υποδομής·

    γ)

    δαπάνες προσωπικού, συμπεριλαμβανομένων των δαπανών που συνδέονται με την αντικατάσταση ή τη μετεγκατάσταση του προσωπικού, την πρόσληψη πρόσθετου προσωπικού, την αμοιβή των υπερωριών και την ανάκτηση απολεσθέντων ή μειωμένων δεξιοτήτων·

    δ)

    τέλη λόγω μη συμμόρφωσης με συμβατικές υποχρεώσεις·

    ε)

    έξοδα επανόρθωσης και αποζημίωσης των πελατών·

    στ)

    ζημίες λόγω διαφυγόντων εσόδων·

    ζ)

    δαπάνες που συνδέονται με την εσωτερική και εξωτερική επικοινωνία·

    η)

    έξοδα παροχής συμβουλών, συμπεριλαμβανομένων των δαπανών που συνδέονται με νομικές συμβουλές, εγκληματολογικές υπηρεσίες και υπηρεσίες αποκατάστασης.

    2.   Οι δαπάνες και οι ζημίες που αναφέρονται στην παράγραφο 1 δεν περιλαμβάνουν το κόστος που είναι αναγκαίο για την καθημερινή λειτουργία της επιχείρησης, και ειδικότερα τα ακόλουθα:

    α)

    δαπάνες γενικής συντήρησης των υποδομών, του εξοπλισμού, του υλισμικού και του λογισμικού, καθώς και δαπάνες για την επικαιροποίηση των δεξιοτήτων του προσωπικού·

    β)

    εσωτερικές ή εξωτερικές δαπάνες για την ενίσχυση της επιχείρησης μετά το συμβάν, συμπεριλαμβανομένων αναβαθμίσεων, βελτιώσεων και πρωτοβουλιών αξιολόγησης κινδύνων·

    γ)

    ασφάλιστρα.

    3.   Οι χρηματοοικονομικές οντότητες υπολογίζουν τα ποσά των δαπανών και των ζημιών με βάση τα δεδομένα που είναι διαθέσιμα κατά τον χρόνο υποβολής της αναφοράς. Όταν τα πραγματικά ποσά των δαπανών και των ζημιών δεν μπορούν να προσδιοριστούν, οι χρηματοοικονομικές οντότητες υπολογίζουν τα εν λόγω ποσά κατ’ εκτίμηση.

    4.   Κατά την αξιολόγηση των οικονομικών επιπτώσεων του συμβάντος, οι χρηματοοικονομικές οντότητες αθροίζουν τις δαπάνες και τις ζημίες που αναφέρονται στην παράγραφο 1.

    ΚΕΦΑΛΑΙΟ II

    ΜΕΙΖΟΝΑ ΣΥΜΒΑΝΤΑ ΚΑΙ ΚΑΤΩΤΑΤΑ ΟΡΙΑ ΣΗΜΑΝΤΙΚΟΤΗΤΑΣ

    Άρθρο 8

    Μείζονα συμβάντα

    1.   Ένα συμβάν θεωρείται μείζον για τους σκοπούς του άρθρου 19 παράγραφος 1 του κανονισμού (ΕΕ) 2022/2554 όταν έχει επηρεάσει κρίσιμες υπηρεσίες που αναφέρονται στο άρθρο 6 και εφόσον πληρούται μία από τις ακόλουθες προϋποθέσεις:

    α)

    πληρούται το κατώτατο όριο σημαντικότητας που αναφέρεται στο άρθρο 9 παράγραφος 5 στοιχείο β)·

    β)

    πληρούνται δύο ή περισσότερα από τα άλλα κατώτατα όρια σημαντικότητας που αναφέρονται στα άρθρα 9 παράγραφοι 1 έως 6.

    2.   Επαναλαμβανόμενα συμβάντα τα οποία μεμονωμένα δεν θεωρούνται μείζον συμβάν σύμφωνα με την παράγραφο 1 θεωρούνται ως ένα μείζον συμβάν εφόσον πληρούν όλες τις ακόλουθες προϋποθέσεις:

    α)

    έχουν εκδηλωθεί τουλάχιστον δύο φορές εντός 6 μηνών·

    β)

    έχουν την ίδια προφανή βαθύτερη αιτία όπως αναφέρεται στο άρθρο 20 πρώτο εδάφιο στοιχείο β) του κανονισμού (ΕΕ) 2022/2554·

    γ)

    πληρούν συλλογικά τα κριτήρια που ορίζονται στην παράγραφο 1 για να θεωρηθούν μείζον συμβάν.

    Οι χρηματοοικονομικές οντότητες αξιολογούν την ύπαρξη επαναλαμβανόμενων συμβάντων σε μηνιαία βάση.

    Η παρούσα παράγραφος δεν εφαρμόζεται στις πολύ μικρές επιχειρήσεις και στις χρηματοοικονομικές οντότητες που απαριθμούνται στο άρθρο 16 παράγραφος 1 του κανονισμού (ΕΕ) 2022/2554.

    Άρθρο 9

    Κατώτατα όρια σημαντικότητας για τον προσδιορισμό μειζόνων συμβάντων

    1.   Το κατώτατο όριο σημαντικότητας για το κριτήριο «πελάτες, χρηματοοικονομικοί αντισυμβαλλόμενοι και συναλλαγές» πληρούται όταν πληρούται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

    α)

    ο αριθμός των επηρεαζόμενων πελατών υπερβαίνει το 10 % του συνόλου των πελατών που χρησιμοποιούν την επηρεαζόμενη υπηρεσία·

    β)

    ο αριθμός των επηρεαζόμενων πελατών που χρησιμοποιούν την επηρεαζόμενη υπηρεσία είναι μεγαλύτερος από 100 000·

    γ)

    ο αριθμός των επηρεαζόμενων χρηματοοικονομικών αντισυμβαλλομένων υπερβαίνει το 30 % του συνόλου των χρηματοοικονομικών αντισυμβαλλομένων που ασκούν δραστηριότητες σχετικές με την παροχή της επηρεαζόμενης υπηρεσίας·

    δ)

    ο αριθμός των επηρεαζόμενων συναλλαγών υπερβαίνει το 10 % του ημερήσιου μέσου αριθμού συναλλαγών που πραγματοποιούνται από τη χρηματοοικονομική οντότητα σε σχέση με την επηρεαζόμενη υπηρεσία·

    ε)

    το ύψος των επηρεαζόμενων συναλλαγών υπερβαίνει το 10 % της ημερήσιας μέσης αξίας των συναλλαγών που πραγματοποιούνται από τη χρηματοοικονομική οντότητα σε σχέση με την επηρεαζόμενη υπηρεσία·

    στ)

    έχουν επηρεαστεί πελάτες ή χρηματοοικονομικοί αντισυμβαλλόμενοι που έχουν προσδιοριστεί ως συναφείς σύμφωνα με το άρθρο 1 παράγραφος 3.

    Όταν δεν μπορεί να προσδιοριστεί ο πραγματικός αριθμός των επηρεαζόμενων πελατών ή χρηματοοικονομικών αντισυμβαλλομένων ή ο πραγματικός αριθμός ή το ύψος των συναλλαγών που επηρεάζονται, η χρηματοοικονομική οντότητα εκτιμά τους εν λόγω αριθμούς ή τα ποσά με βάση τα διαθέσιμα δεδομένα από συγκρίσιμες περιόδους αναφοράς.

    2.   Το κατώτατο όριο σημαντικότητας για το κριτήριο «επιπτώσεις στη φήμη» πληρούται όταν πληρούται οποιαδήποτε από τις προϋποθέσεις που ορίζονται στο άρθρο 2 στοιχεία α) έως δ).

    3.   Το κατώτατο όριο σημαντικότητας για το κριτήριο «διάρκεια και χρόνος διακοπής της υπηρεσίας» πληρούται όταν πληρούται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

    α)

    η διάρκεια του συμβάντος υπερβαίνει τις 24 ώρες·

    β)

    ο χρόνος διακοπής της υπηρεσίας υπερβαίνει τις 2 ώρες για υπηρεσίες ΤΠΕ που υποστηρίζουν κρίσιμες ή σημαντικές λειτουργίες.

    4.   Το κατώτατο όριο σημαντικότητας για το κριτήριο «γεωγραφική εξάπλωση» πληρούται όταν το συμβάν έχει επιπτώσεις σε δύο ή περισσότερα κράτη μέλη σύμφωνα με το άρθρο 4.

    5.   Το κατώτατο όριο σημαντικότητας για το κριτήριο «απώλειες δεδομένων» πληρούται όταν εκπληρώνεται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:

    α)

    κάθε επίπτωση, όπως αναφέρεται στο άρθρο 5, στη διαθεσιμότητα, τη γνησιότητα, την ακεραιότητα ή την εμπιστευτικότητα των δεδομένων έχει ή θα έχει δυσμενείς επιπτώσεις στην υλοποίηση των επιχειρηματικών στόχων της χρηματοοικονομικής οντότητας ή στην ικανότητά της να πληροί τις κανονιστικές απαιτήσεις·

    β)

    τυχόν επιτυχημένη, κακόβουλη και μη εξουσιοδοτημένη πρόσβαση που δεν καλύπτεται από το στοιχείο α) πραγματοποιείται σε συστήματα δικτύου και πληροφοριών, όταν η πρόσβαση αυτή μπορεί να οδηγήσει σε απώλειες δεδομένων.

    6.   Το κατώτατο όριο σημαντικότητας για το κριτήριο «οικονομικές επιπτώσεις» πληρούται όταν οι δαπάνες και οι ζημίες που υπέστη η χρηματοοικονομική οντότητα λόγω του συμβάντος έχουν υπερβεί ή είναι πιθανό να υπερβούν τα 100 000 EUR.

    ΚΕΦΑΛΑΙΟ III

    ΣΗΜΑΝΤΙΚΕΣ ΚΥΒΕΡΝΟΑΠΕΙΛΕΣ

    Άρθρο 10

    Κατώτατα όρια υψηλής σημαντικότητας για τον προσδιορισμό σημαντικών κυβερνοαπειλών

    Για τους σκοπούς του άρθρου 18 παράγραφος 2 του κανονισμού (ΕΕ) 2022/2554, μια κυβερνοαπειλή θεωρείται σημαντική όταν πληρούνται όλες οι ακόλουθες προϋποθέσεις:

    α)

    η κυβερνοαπειλή, εάν υλοποιηθεί, θα μπορούσε να επηρεάσει ή θα μπορούσε να έχει επηρεάσει κρίσιμες ή σημαντικές λειτουργίες της χρηματοοικονομικής οντότητας ή θα μπορούσε να επηρεάσει άλλες χρηματοοικονομικές οντότητες, τρίτους παρόχους, πελάτες ή χρηματοοικονομικούς αντισυμβαλλομένους, με βάση τις πληροφορίες που έχει στη διάθεσή της η χρηματοοικονομική οντότητα·

    β)

    η κυβερνοαπειλή έχει μεγάλη πιθανότητα να υλοποιηθεί στη χρηματοοικονομική οντότητα ή σε άλλες χρηματοοικονομικές οντότητες, λαμβάνοντας υπόψη τουλάχιστον τα ακόλουθα στοιχεία:

    i)

    τους ισχύοντες κινδύνους που σχετίζονται με την κυβερνοαπειλή που αναφέρεται στο στοιχείο α), συμπεριλαμβανομένων των πιθανών τρωτών σημείων των συστημάτων της χρηματοοικονομικής οντότητας που μπορούν να αξιοποιηθούν·

    ii)

    τις ικανότητες και την πρόθεση των παραγόντων απειλής στον βαθμό που τις γνωρίζει η χρηματοοικονομική οντότητα·

    iii)

    την εμμονή της απειλής και τυχόν συσσωρευμένες γνώσεις σχετικά με συμβάντα που έχουν επηρεάσει τη χρηματοοικονομική οντότητα ή τον τρίτο πάροχο, τους πελάτες ή τους χρηματοοικονομικούς αντισυμβαλλομένους της·

    γ)

    η κυβερνοαπειλή θα μπορούσε, εάν υλοποιηθεί, να πληροί οποιοδήποτε από τα ακόλουθα:

    i)

    το κριτήριο σχετικά με την κρισιμότητα των υπηρεσιών που ορίζεται στο άρθρο 18 παράγραφος 1 στοιχείο ε) του κανονισμού (ΕΕ) 2022/2554, όπως ορίζεται στο άρθρο 6 του παρόντος κανονισμού·

    ii)

    το κατώτατο όριο σημαντικότητας που προβλέπεται στο άρθρο 9 παράγραφος 1·

    iii)

    το κατώτατο όριο σημαντικότητας που προβλέπεται στο άρθρο 9 παράγραφος 4.

    Όταν, ανάλογα με το είδος της κυβερνοαπειλής και τις διαθέσιμες πληροφορίες, η χρηματοοικονομική οντότητα καταλήγει στο συμπέρασμα ότι θα μπορούσαν να πληρούνται τα κατώτατα όρια σημαντικότητας που ορίζονται στο άρθρο 9 παράγραφοι 2, 3, 5 και 6, τα εν λόγω κατώτατα όρια μπορούν επίσης να ληφθούν υπόψη.

    ΚΕΦΑΛΑΙΟ IV

    ΣΗΜΑΣΙΑ ΤΩΝ ΜΕΙΖΟΝΩΝ ΣΥΜΒΑΝΤΩΝ ΓΙΑ ΤΙΣ ΑΡΜΟΔΙΕΣ ΑΡΧΕΣ ΑΛΛΩΝ ΚΡΑΤΩΝ ΜΕΛΩΝ ΚΑΙ ΛΕΠΤΟΜΕΡΕΙΕΣ ΤΩΝ ΑΝΑΦΟΡΩΝ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΚΟΙΝΟΠΟΙΟΥΝΤΑΙ ΣΕ ΑΛΛΕΣ ΑΡΜΟΔΙΕΣ ΑΡΧΕΣ

    Άρθρο 11

    Σημασία των μειζόνων συμβάντων για τις αρμόδιες αρχές άλλων κρατών μελών

    Η αξιολόγηση του αν το μείζον συμβάν έχει ενδιαφέρον για τις αρμόδιες αρχές άλλων κρατών μελών, όπως αναφέρεται στο άρθρο 19 παράγραφος 7 του κανονισμού (ΕΕ) 2022/2554, βασίζεται στο αν το συμβάν έχει βαθύτερη αιτία που προέρχεται από άλλο κράτος μέλος ή αν το συμβάν έχει ή είχε σημαντικό αντίκτυπο σε άλλο κράτος μέλος σε σχέση με οποιοδήποτε από τα ακόλουθα:

    α)

    πελάτες ή χρηματοοικονομικούς αντισυμβαλλομένους·

    β)

    υποκατάστημα της χρηματοοικονομικής οντότητας ή άλλης χρηματοοικονομικής οντότητας εντός του ομίλου·

    γ)

    υποδομή της χρηματοοικονομικής αγοράς ή τρίτο πάροχο που ενδέχεται να επηρεάσει τις χρηματοοικονομικές οντότητες στις οποίες παρέχουν υπηρεσίες.

    Άρθρο 12

    Λεπτομέρειες μειζόνων συμβάντων που πρέπει να κοινοποιούνται σε άλλες αρμόδιες αρχές

    Οι λεπτομέρειες των μειζόνων συμβάντων που πρέπει να υποβάλλονται από τις αρμόδιες αρχές σε άλλες αρμόδιες αρχές σύμφωνα με το άρθρο 19 παράγραφος 6 του κανονισμού (ΕΕ) 2022/2554 και οι κοινοποιήσεις που πρέπει να υποβάλλονται από την ΕΑΤ, την ESMA ή την EIOPA και την ΕΚΤ στις σχετικές αρμόδιες αρχές άλλων κρατών μελών σύμφωνα με το άρθρο 19 παράγραφος 7 του εν λόγω κανονισμού περιέχουν το ίδιο επίπεδο πληροφοριών, χωρίς ανωνυμοποίηση, με τις κοινοποιήσεις και τις αναφορές μειζόνων συμβάντων που λαμβάνονται από χρηματοοικονομικές οντότητες σύμφωνα με το άρθρο 19 παράγραφος 4 του κανονισμού (ΕΕ) 2022/2554.

    ΚΕΦΑΛΑΙΟ V

    ΤΕΛΙΚΕΣ ΔΙΑΤΑΞΕΙΣ

    Άρθρο 13

    Έναρξη ισχύος

    Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

    Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

    Βρυξέλλες, 13 Μαρτίου 2024.

    Για την Επιτροπή

    Η Πρόεδρος

    Ursula VON DER LEYEN

    (1)   ΕΕ L 333 της 27.12.2022, σ. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

    (2)  Οδηγία (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2015, σχετικά με υπηρεσίες πληρωμών στην εσωτερική αγορά, την τροποποίηση των οδηγιών 2002/65/ΕΚ, 2009/110/ΕΚ και 2013/36/ΕΕ και του κανονισμού (ΕΕ) αριθ. 1093/2010 και την κατάργηση της οδηγίας 2007/64/ΕΚ (ΕΕ L 337 της 23.12.2015, σ. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).

    (3)  Κατ’ εξουσιοδότηση κανονισμός (ΕΕ) 2018/959 της Επιτροπής, της 14ης Μαρτίου 2018, για τη συμπλήρωση του κανονισμού (ΕΕ) αριθ. 575/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου όσον αφορά τα ρυθμιστικά τεχνικά πρότυπα για τον καθορισμό της μεθοδολογίας αξιολόγησης βάσει της οποίας οι αρμόδιες αρχές επιτρέπουν στα ιδρύματα να χρησιμοποιούν εξελιγμένες μεθόδους μέτρησης για τον λειτουργικό κίνδυνο (ΕΕ L 169 της 6.7.2018, σ. 1, ELI: http://data.europa.eu/eli/reg_del/2018/959/oj).

    (4)  Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

    (5)  Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

    (6)  Κανονισμός (ΕΕ) αριθ. 1093/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Νοεμβρίου 2010, σχετικά με τη σύσταση Ευρωπαϊκής Εποπτικής Αρχής (Ευρωπαϊκή Αρχή Τραπεζών), την τροποποίηση της απόφασης αριθ. 716/2009/ΕΚ και την κατάργηση της απόφασης 2009/78/ΕΚ της Επιτροπής (ΕΕ L 331 της 15.12.2010, σ. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).

    (7)  Κανονισμός (ΕΕ) αριθ. 1094/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Νοεμβρίου 2010, για τη σύσταση Ευρωπαϊκής Εποπτικής Αρχής (Ευρωπαϊκή Αρχή Ασφαλίσεων και Επαγγελματικών Συντάξεων), την τροποποίηση της απόφασης αριθ. 716/2009/ΕΚ και την κατάργηση της απόφασης 2009/79/ΕΚ της Επιτροπής (ΕΕ L 331 της 15.12.2010, σ. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).

    (8)  Κανονισμός (ΕΕ) αριθ. 1095/2010 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Νοεμβρίου 2010, σχετικά με τη σύσταση Ευρωπαϊκής Εποπτικής Αρχής (Ευρωπαϊκή Αρχή Κινητών Αξιών και Αγορών), την τροποποίηση της απόφασης αριθ. 716/2009/ΕΚ και την κατάργηση της απόφασης 2009/77/ΕΚ (ΕΕ L 331 της 15.12.2010, σ. 84. ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

    (9)  Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

    ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj

    ISSN 1977-0669 (electronic edition)

    Top