This document is an excerpt from the EUR-Lex website
Document 32025R0301
Commission Delegated Regulation (EU) 2025/301 of 23 October 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the content and time limits for the initial notification of, and intermediate and final report on, major ICT-related incidents, and the content of the voluntary notification for significant cyber threats
Komission delegoitu asetus (EU) 2025/301, annettu 23 päivänä lokakuuta 2024, Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 täydentämisestä laajavaikutteisia TVT:hen liittyviä poikkeamia koskevan alustavan ilmoituksen ja väli- ja loppuraportin sisältöä ja määräaikoja sekä merkittäviä kyberuhkia koskevan vapaaehtoisen ilmoituksen sisältöä täsmentävillä teknisillä sääntelystandardeilla
Komission delegoitu asetus (EU) 2025/301, annettu 23 päivänä lokakuuta 2024, Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 täydentämisestä laajavaikutteisia TVT:hen liittyviä poikkeamia koskevan alustavan ilmoituksen ja väli- ja loppuraportin sisältöä ja määräaikoja sekä merkittäviä kyberuhkia koskevan vapaaehtoisen ilmoituksen sisältöä täsmentävillä teknisillä sääntelystandardeilla
C/2024/6901
EUVL L, 2025/301, 20.2.2025, ELI: http://data.europa.eu/eli/reg_del/2025/301/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Euroopan unionin |
FI L-sarja |
|
2025/301 |
20.2.2025 |
KOMISSION DELEGOITU ASETUS (EU) 2025/301,
annettu 23 päivänä lokakuuta 2024,
Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 täydentämisestä laajavaikutteisia TVT:hen liittyviä poikkeamia koskevan alustavan ilmoituksen ja väli- ja loppuraportin sisältöä ja määräaikoja sekä merkittäviä kyberuhkia koskevan vapaaehtoisen ilmoituksen sisältöä täsmentävillä teknisillä sääntelystandardeilla
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta 14 päivänä joulukuuta 2022 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 (1) ja erityisesti sen 20 artiklan kolmannen alakohdan,
sekä katsoo seuraavaa:
|
(1) |
Jotta voidaan varmistaa asetuksen (EU) 2022/2554 19 artiklan 4 kohdassa tarkoitettujen laajavaikutteisten tieto- ja viestintätekniikkaan (TVT) liittyvien poikkeamien ilmoitus- ja raportointivaatimusten yhdenmukaistaminen ja yksinkertaistaminen, laajavaikutteisista TVT:hen liittyvistä poikkeamista raportoimisen määräaikojen olisi oltava johdonmukaisia kaikentyyppisille finanssiyhteisöille. Näistä syistä määräaikojen olisi myös mahdollisimman suuressa määrin noudatettava johdonmukaista lähestymistapaa Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2555 (2) vahvistettujen vaatimusten kanssa ja oltava ainakin vaikutukseltaan niitä vastaavia. |
|
(2) |
Jotta finanssiyhteisöille ei aiheutuisi kohtuutonta raportointirasitetta samaan aikaan, kun ne käsittelevät TVT:hen liittyvää poikkeamaa, alustavan ilmoituksen sisältö olisi rajattava merkityksellisimpiin tietoihin. Jotta toimivaltaiset viranomaiset voivat toteuttaa asianmukaiset valvontatoimet, niiden on saatava tiedot laajavaikutteisista TVT:hen liittyvistä poikkeamista mahdollisimman pian sen jälkeen, kun finanssiyhteisö on luokitellut TVT:hen liittyvän poikkeaman laajavaikutteiseksi. Asetuksen (EU) 2022/2554 19 artiklan 4 kohdan a alakohdassa tarkoitetun alustavan ilmoituksen toimittamisen määräajan olisi siksi oltava mahdollisimman lyhyt sen jälkeen, kun TVT:hen liittyvä poikkeama on luokiteltu laajavaikutteiseksi, mutta samalla olisi kuitenkin sallittava joustoa erityisesti sellaisten palveluliiketoimintamallien kohdalla, jotka eivät ole erityisen aikakriittisiä, jos finanssiyhteisöt tarvitsevat enemmän aikaa TVT:hen liittyvän poikkeaman käsittelyyn sen ilmenemisen jälkeen. |
|
(3) |
Alustavan ilmoituksen vastaanottamisen jälkeen toimivaltaisten viranomaisten olisi saatava TVT:hen liittyvästä poikkeamasta yksityiskohtaisempia tietoja väliraportissa ja kaikki merkitykselliset tiedot loppuraportissa. Näissä raporteissa olevien tietojen perusteella toimivaltaisten viranomaisten olisi voitava arvioida tarkemmin TVT:hen liittyvää poikkeamaa ja valvontatoimia, joita ne mahdollisesti haluavat toteuttaa. |
|
(4) |
Asetuksen (EU) 2022/2554 20 artiklan ensimmäisen kohdan a alakohdan ii alakohdassa tarkoitetuissa raportoinnin määräajoissa olisi sen vuoksi tasapainotettava toimivaltaisten viranomaisten tarve saada tiedot nopeasti ja tarve antaa finanssiyhteisöille riittävästi aikaa täydellisten ja tarkkojen tietojen hankkimiseen. |
|
(5) |
Kun otetaan huomioon asetuksen (EU) 2022/2554 20 artiklan ensimmäisen kohdan a alakohdassa säädetyt kriteerit, raportoinnin määräajat eivät saisi aiheuttaa kohtuutonta rasitetta mikroyrityksille ja muille kuin merkittäväksi luokitelluille finanssiyhteisöille. Jotta finanssiyhteisöille ei aiheutuisi kohtuutonta vaivaa, raportoinnin määräajoissa olisi lisäksi otettava huomioon viikonloput ja yleiset vapaapäivät. |
|
(6) |
Koska merkittävistä kyberuhkista ilmoitetaan vapaaehtoisesti, tällaisten ilmoitusten sisältö ei saisi aiheuttaa rasitetta finanssiyhteisöille ja sen olisi oltava laajavaikutteisista TVT:hen liittyvistä poikkeamista pyydettyjä tietoja rajoitetumpi. |
|
(7) |
Tämä asetus perustuu teknisten sääntelystandardien luonnoksiin, jotka Euroopan valvontaviranomaiset ovat toimittaneet komissiolle. |
|
(8) |
Euroopan valvontaviranomaiset ovat järjestäneet avoimet julkiset kuulemiset tämän asetuksen perustana olevista teknisten sääntelystandardien luonnoksista, analysoineet niihin mahdollisesti liittyviä kustannuksia ja hyötyjä sekä pyytäneet neuvoa Euroopan parlamentin ja neuvoston asetusten (EU) N:o 1093/2010 (3), (EU) N:o 1094/2010 (4) ja (EU) N:o 1095/2010 (5) 37 artiklan mukaisesti perustetuilta osallisryhmiltä. |
|
(9) |
Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (6) 42 artiklan 1 kohdan mukaisesti, ja hän on antanut myönteisen lausunnon 22 päivänä heinäkuuta 2024. Kaikessa tämän asetuksen soveltamisalaan kuuluvassa henkilötietojen käsittelyssä olisi noudatettava asetuksessa (EU) 2018/1725 vahvistettuja sovellettavia tietosuojaperiaatteita ja -säännöksiä, |
ON HYVÄKSYNYT TÄMÄN ASETUKSEN:
1 artikla
Laajavaikutteisia TVT:hen liittyviä poikkeamia koskevissa alustavissa ilmoituksissa sekä väli- ja loppuraporteissa annettavat yleiset tiedot
Finanssiyhteisöjen on sisällytettävä asetuksen (EU) 2022/2554 19 artiklan 4 kohdassa tarkoitettuun alustavaan ilmoitukseen, väliraporttiin ja loppuraporttiin seuraavat yleiset tiedot:
|
a) |
raportin tyyppi (alustava ilmoitus, väliraportti tai loppuraportti); |
|
b) |
asetuksen (EU) 2022/2554 2 artiklan 1 kohdassa tarkoitetun finanssiyhteisön nimi, sen LEI-tunnus ja finanssiyhteisön tyyppi; |
|
c) |
sen yhteisön nimi ja tunnistekoodi, joka toimittaa alustavan ilmoituksen taikka väli- tai loppuraportin finanssiyhteisön puolesta; |
|
d) |
kaikkien niiden finanssiyhteisöjen nimet ja LEI-koodit, jotka sisältyvät yhdistettyyn alustavaan ilmoitukseen taikka väli- tai loppuraporttiin, jos sellaisia on; |
|
e) |
niiden henkilöiden yhteystiedot, jotka vastaavat laajavaikutteisesta TVT:hen liittyvästä poikkeamasta viestimisestä toimivaltaisen viranomaisen kanssa; |
|
f) |
konsernin sen emoyrityksen tunnistetiedot, johon finanssiyhteisö kuuluu, jos sellainen on; |
|
g) |
jos poikkeamiin liittyy rahallisia vaikutuksia, rahamäärien perustana oleva valuutta. |
2 artikla
Alustavissa ilmoituksissa annettavat yksityiskohtaiset tiedot
Asetuksen (EU) 2022/2554 19 artiklan 4 kohdan a alakohdassa tarkoitettujen alustavien ilmoitusten on sisällettävä vähintään seuraavat yksityiskohtaiset tiedot:
|
a) |
finanssiyhteisön antama poikkeaman viitekoodi; |
|
b) |
komission delegoidun asetuksen (EU) 2024/1772 (7) 8 artiklassa tarkoitetun poikkeaman havaitsemispäivä, havaitsemisaika ja luokittelu; |
|
c) |
TVT:hen liittyvän poikkeaman kuvaus; |
|
d) |
delegoidun asetuksen (EU) 2024/1772 1–8 artiklassa säädetyt kriteerit, joiden perusteella finanssiyhteisö on luokitellut TVT:hen liittyvän poikkeaman laajavaikutteiseksi; |
|
e) |
jäsenvaltiot, joihin TVT:hen liittyvä poikkeama on vaikuttanut; |
|
f) |
tiedot siitä, miten TVT:hen liittyvä poikkeama havaittiin; |
|
g) |
jos saatavilla, tiedot TVT:hen liittyvän poikkeaman alkuperästä; |
|
h) |
tieto siitä, onko finanssiyhteisö aktivoinut liiketoiminnan jatkuvuussuunnitelman; |
|
i) |
tieto TVT:hen liittyvän poikkeaman mahdollisesta uudelleenluokituksesta laajavaikutteisesta ei-laajavaikutteiseksi; |
|
j) |
muut merkitykselliset tiedot, jos sellaisia on saatavilla. |
3 artikla
Väliraporteissa annettavat yksityiskohtaiset tiedot
Asetuksen (EU) 2022/2554 19 artiklan 4 kohdan b alakohdassa tarkoitettujen väliraporttien on sisällettävä vähintään seuraavat yksityiskohtaiset tiedot:
|
a) |
toimivaltaisen viranomaisen antama poikkeaman viitekoodi, jos sellainen on; |
|
b) |
TVT:hen liittyvän poikkeaman tapahtumapäivä ja -aika; |
|
c) |
tapauksen mukaan päivä ja aika, jolloin finanssiyhteisön säännöllinen toiminta on palautettu; |
|
d) |
tiedot siitä, miten delegoidun asetuksen (EU) 2024/1772 1–8 artiklassa säädetyt kriteerit, joiden perusteella finanssiyhteisö on luokitellut TVT:hen liittyvän poikkeaman laajavaikutteiseksi, ovat täyttyneet; |
|
e) |
TVT:hen liittyvän poikkeaman tyyppi: |
|
f) |
uhkatoimijan käyttämät uhat ja tekniikat, jos sellaisia on; |
|
g) |
toiminta-alueet ja liiketoimintaprosessit, joihin poikkeama on vaikuttanut; |
|
h) |
liiketoimintaprosesseja tukevat infrastruktuurikomponentit, joihin poikkeama on vaikuttanut; |
|
i) |
vaikutukset asiakkaiden taloudellisiin etuihin; |
|
j) |
tiedot TVT:hen liittyvästä poikkeamasta raportoinnista muille viranomaisille; |
|
k) |
väliaikaiset toimet tai toimenpiteet, joita finanssiyhteisö on toteuttanut tai aikoo toteuttaa toipuakseen TVT:hen liittyvästä poikkeamasta; |
|
l) |
tiedot vaarantumisindikaattoreista, jos sellaisia on. |
4 artikla
Loppuraporteissa annettavat yksityiskohtaiset tiedot
Asetuksen (EU) 2022/2554 19 artiklan 4 kohdan c alakohdassa tarkoitettujen loppuraporttien on sisällettävä seuraavat yksityiskohtaiset tiedot:
|
a) |
tiedot TVT:hen liittyvän poikkeaman perimmäisistä syistä; |
|
b) |
päivämäärät ja ajat, jolloin TVT:hen liittyvä poikkeama ratkaistiin ja perimmäisiin syihin reagoitiin; |
|
c) |
tiedot TVT:hen liittyvän poikkeaman ratkaisemisesta; |
|
d) |
kriisinratkaisuviranomaisten kannalta merkitykselliset tiedot, jos sellaisia on; |
|
e) |
tiedot TVT:hen liittyvästä poikkeamasta aiheutuneista suorista ja välillisistä kustannuksista ja tappioista sekä tiedot takaisinperimisistä; |
|
f) |
tiedot toistuvista TVT:hen liittyvistä poikkeamista, jos sellaisia on. |
5 artikla
Alustavan ilmoituksen sekä väli- ja loppukertomusten määräajat
1. Finanssiyhteisöjen on toimitettava asetuksen (EU) 2022/2554 19 artiklan 4 kohdan a, b ja c alakohdassa tarkoitettu alustava ilmoitus sekä väli- ja loppuraportit seuraavissa määräajoissa:
|
a) |
alustava raportti: mahdollisimman pian ja joka tapauksessa neljän tunnin kuluessa siitä, kun TVT:hen liittyvä poikkeama on luokiteltu laajavaikutteiseksi TVT:hen liittyväksi poikkeamaksi, ja viimeistään 24 tunnin kuluttua siitä, kun TVT:hen liittyvä poikkeama on tullut ilmi finanssiyhteisölle; |
|
b) |
väliraportti: viimeistään 72 tunnin kuluttua alustavan ilmoituksen toimittamisesta, vaikka poikkeaman tila tai käsittely ei olisi muuttunut asetuksen (EU) 2022/2554 19 artiklan 4 kohdan b alakohdassa tarkoitetulla tavalla. Finanssiyhteisöjen on toimitettava päivitetty väliraportti ilman aiheetonta viivytystä ja joka tapauksessa, kun säännöllinen toiminta on palautettu; |
|
c) |
loppuraportti: viimeistään kuukauden kuluttua joko väliraportin toimittamisesta tai tapauksen mukaan viimeisimmän päivitetyn väliraportin toimittamisesta. |
2. Jos finanssiyhteisö ei ole luokitellut TVT:hen liittyvää poikkeamaa laajavaikutteiseksi 24 tunnin kuluessa siitä, kun kyseinen TVT:hen liittyvä poikkeama on tullut ilmi sille, mutta luokittelee kyseisen TVT:hen liittyvän poikkeaman myöhemmin laajavaikutteiseksi, finanssiyhteisön on toimitettava alustava ilmoitus neljän tunnin kuluessa siitä, kun TVT:hen liittyvä poikkeama on luokiteltu laajavaikutteiseksi poikkeamaksi.
3. Jos finanssiyhteisöt eivät pysty toimittamaan alustavaa ilmoitusta, väliraporttia tai loppuraporttia 1 kohdassa säädetyissä määräajoissa, niiden on ilmoitettava tästä toimivaltaiselle viranomaiselle ilman aiheetonta viivytystä ja viimeistään ilmoituksen tai raportin toimittamiselle asetetuissa määräajoissa ja selitettävä viivästyksen syyt.
4. Jos määräaika alustavan ilmoituksen, väliraportin tai loppuraportin toimittamiselle on viikonloppuna tai raportoivan finanssiyhteisön jäsenvaltion yleisenä vapaapäivänä, finanssiyhteisö voi toimittaa kyseisen alustavan ilmoituksen, väliraportin tai loppuraportin seuraavana työpäivänä klo 12.00 mennessä.
5. Edellä olevaa 4 kohtaa ei sovelleta luottolaitosten, keskusvastapuolten, kauppapaikkojen ylläpitäjien ja muiden direktiivin (EU) 2022/2555 3 artiklassa tarkoitettujen keskeisiksi ja tärkeiksi toimijoiksi määritettyjen finanssiyhteisöjen alustavan ilmoituksen tai väliraportin toimittamiseen.
6. Toimivaltaiset viranomaiset voivat päättää, että 4 kohtaa ei sovelleta muiden kuin 5 kohdassa tarkoitettujen sellaisten finanssiyhteisöjen alustavan ilmoituksen tai väliraportin toimittamiseen, jotka ovat finanssialan kannalta merkittäviä tai joilla on sen kannalta systeeminen luonne kansallisella tai unionin tasolla. Toimivaltaisten viranomaisten on ilmoitettava päätöksestään kyseisille finanssiyhteisöille. Toimivaltaisen viranomaisen päätöstä sovelletaan ainoastaan poikkeamiin, joista raportoidaan sen päivän jälkeen, jona toimivaltainen viranomainen on ilmoittanut päätöksestä kyseisille finanssiyhteisöille.
6 artikla
Merkittäviä kyberuhkia koskevan vapaaehtoisen ilmoituksen sisältö
Asetuksen (EU) 2022/2554 19 artiklan 2 kohdassa tarkoitetun merkittäviä kyberuhkia koskevan vapaaehtoisen ilmoituksen on sisällettävä seuraavat tiedot:
|
a) |
1 artiklan mukaiset yleiset tiedot ilmoituksen tekevästä finanssiyhteisöstä; |
|
b) |
merkittävän kyberuhkan havaitsemispäivä ja -aika sekä muut merkittävään kyberuhkaan liittyvät merkitykselliset aikaleimat; |
|
c) |
merkittävän kyberuhkan kuvaus; |
|
d) |
tiedot merkittävän kyberuhkan mahdollisista vaikutuksista finanssiyhteisöön, sen asiakkaisiin tai finanssialan vastapuoliin; |
|
e) |
delegoidun asetuksen (EU) 2024/1772 1–8 artiklassa säädetyt luokittelukriteerit, jotka olisivat johtaneet raporttiin laajavaikutteisesta poikkeamasta, jos kyberuhka olisi toteutunut; |
|
f) |
tiedot merkittävän kyberuhkan tilasta ja mahdollisista muutoksista uhkaavassa toiminnassa; |
|
g) |
kuvaus toimista, joita finanssiyhteisö on toteuttanut merkittävien kyberuhkien toteutumisen estämiseksi, jos sellaisia on; |
|
h) |
tiedot mahdollisesta merkittävää kyberuhkaa koskevasta ilmoituksesta muille finanssiyhteisöille tai viranomaisille; |
|
i) |
tiedot vaarantumisindikaattoreista, jos sellaisia on; |
|
j) |
muut merkitykselliset tiedot, jos sellaisia on saatavilla. |
7 artikla
Voimaantulo
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Brysselissä 23 päivänä lokakuuta 2024.
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
(1) EUVL L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (NIS 2 -direktiivi) (EUVL L 333, 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(3) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1093/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan pankkiviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/78/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(4) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1094/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan vakuutus- ja lisäeläkeviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/79/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(5) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1095/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan arvopaperimarkkinaviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/77/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(6) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7) Komission delegoitu asetus (EU) 2024/1772, annettu 13 päivänä maaliskuuta 2024, Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 täydentämisestä teknisillä sääntelystandardeilla, joissa täsmennetään TVT:hen liittyvien poikkeamien ja kyberuhkien luokittelukriteerit, vahvistetaan olennaisuusrajat ja täsmennetään laajavaikutteisia poikkeamia koskevien raporttien yksityiskohdat (EUVL L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/301/oj
ISSN 1977-0812 (electronic edition)