32025R0302

EUR-Lex

Access to European Union law

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Végrehajtási rendelet - EU - 2025/302 - EN - EUR-Lex

Help

Search tips

Need more search options? Use the Advanced search

Document 32025R0302

Help

A Bizottság (EU) 2025/302 végrehajtási rendelete (2024. október 23.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek a jelentős IKT-vonatkozású esemény pénzügyi szervezetek általi bejelentésére és a jelentős kiberfenyegetésről szóló, pénzügyi szervezetek által benyújtandó értesítésre szolgáló szabványos űrlapok, sablonok és eljárások tekintetében történő alkalmazására vonatkozó végrehajtás-technikai standardok megállapításáról

C/2024/7277

HL L, 2025/302, 2025.2.20, ELI: http://data.europa.eu/eli/reg_impl/2025/302/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_impl/2025/302/oj

HTML

PDF - authentic OJ

e-signature

How to verify the authenticity of the Official Journal

Az Európai Unió
Hivatalos Lapja

L sorozat

2025/302

2025.2.20.

A BIZOTTSÁG (EU) 2025/302 VÉGREHAJTÁSI RENDELETE

(2024. október 23.)

az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek a jelentős IKT-vonatkozású esemény pénzügyi szervezetek általi bejelentésére és a jelentős kiberfenyegetésről szóló, pénzügyi szervezetek által benyújtandó értesítésre szolgáló szabványos űrlapok, sablonok és eljárások tekintetében történő alkalmazására vonatkozó végrehajtás-technikai standardok megállapításáról

(EGT-vonatkozású szöveg)

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a pénzügyi ágazat digitális működési rezilienciájáról, valamint az 1060/2009/EK, a 648/2012/EU, a 600/2014/EU, a 909/2014/EU és az (EU) 2016/1011 rendelet módosításáról szóló, 2022. december 14-i (EU) 2022/2554 európai parlamenti és tanácsi rendeletre (1), és különösen annak 20. cikke negyedik albekezdésére,

mivel:

(1)

Annak biztosítása érdekében, hogy a pénzügyi szervezetek következetesen beszámoljanak a jelentős eseményekről illetékes hatóságaiknak, és jó minőségű adatokat bocsássanak a hatóságok rendelkezésére, meg kell határozni, hogy a pénzügyi szervezeteknek milyen adatmezőket kell megadniuk az (EU) 2022/2554 rendelet 19. cikkének (4) bekezdésében említett jelentéstétel különböző szakaszaiban. Fontos, hogy ezeket az információkat olyan módon jelenítsék meg, amely lehetővé teszi az esemény egységes áttekintését. Ezért e célokra egységes adatszolgáltatási sablont kell megállapítani.

(2)

A pénzügyi szervezeteknek az adatszolgáltatási sablon azon adatmezőit kell kitölteniük, amelyek megfelelnek az adott értesítésre vagy jelentésre vonatkozó információs követelményeknek. Mindazonáltal azon pénzügyi szervezetek számára, amelyek már rendelkeznek olyan információval, amelyet egy későbbi jelentéstételi szakaszban, azaz az időközi jelentésben vagy a zárójelentésben kell megadniuk, lehetővé kell tenni, hogy korábban benyújthassák az adatokat.

(3)

mivel több esemény vagy ismétlődő események az (EU) 2024/1772 felhatalmazáson alapuló bizottsági rendelet (2) 8. cikkében említett jelentős eseménynek minősülhetnek, az adatszolgáltatási sablon és az adatmezők kialakításának lehetővé kell tennie a pénzügyi szervezetek számára, hogy jelentsék az ilyen ismétlődő eseményeket.

(4)

A pontos és naprakész információk biztosítása érdekében az adatszolgáltatási sablonnak lehetővé kell tennie a pénzügyi szervezetek számára, hogy az időközi jelentés és a zárójelentés benyújtásakor aktualizáljanak bármely korábban benyújtott információt, és szükség esetén egyes jelentős események osztályozását nem jelentősre módosítsák.

(5)	A szervezetek jogi azonosítását összhangba kell hozni az (EU) 2022/2554 rendelet 28. cikkének (9) bekezdése alapján elfogadott végrehajtás-technikai standardokban meghatározott azonosítókkal.

(6)

Ha a pénzügyi szervezetek a jelentős IKT-vonatkozású eseményekkel kapcsolatos bejelentési kötelezettségeket kiszervezik harmadik félnek, az illetékes hatóságoknak az első értesítés vagy jelentés benyújtása előtt tisztában kell lenniük a pénzügyi szervezet nevében adatot szolgáltató harmadik fél kilétével az adatszolgáltató harmadik fél legitimitásának ellenőrzése érdekében.

(7)

Egy harmadik fél szolgáltatónál bekövetkezett vagy általa okozott, és egyetlen tagállamon belül több pénzügyi szervezetet érintő esemény hatásának egyszerű azonosítása, valamint a pénzügyi szervezetek adatszolgáltatási terheinek csökkentése érdekében az adatszolgáltatási sablonnak lehetővé kell tennie olyan összesített jelentés benyújtását, amely összesített információkat tartalmaz arra vonatkozóan, hogy az esemény milyen hatással volt az eseményt jelentősnek minősítő pénzügyi szervezetek összességére.

(8)	Az adatszolgáltatási sablont úgy kell megtervezni, hogy az technológiasemleges legyen, lehetővé téve annak különböző, már létező vagy az (EU) 2022/2554 rendelet követelményeinek végrehajtása érdekében kidolgozandó eseménybejelentési megoldásokba való beépítését.

(9)

Az adatszolgáltatási sablon és az adatmezők kialakításának meg kell könnyítenie, hogy azon harmadik felek, amelyeknek a pénzügyi szervezetek az (EU) 2022/2554 rendelet 19. cikkének (5) bekezdésével összhangban kiszervezték bejelentési kötelezettségüket, bejelentsék a jelentős IKT-vonatkozású eseményeket.

(10)	Ez a rendelet az európai felügyeleti hatóságok által a Bizottsághoz benyújtott végrehajtás-technikai standardtervezeteken alapul.

(11)

Az európai felügyeleti hatóságok nyilvános konzultációt folytattak az e rendelet alapját képező végrehajtás-technikai standardtervezetekről, elemezték az esetleges kapcsolódó költségeket és hasznot, továbbá kikérték az 1093/2010/EU európai parlamenti és tanácsi rendelet (3) 37. cikkével, valamint az 1094/2010/EU (4) és 1095/2010/EU (5) európai parlamenti és tanácsi rendelettel összhangban létrehozott Banki Érdekképviseleti Csoport tanácsát.

(12)

Az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (6) 42. cikkének (1) bekezdésével összhangban a Bizottság egyeztetett az európai adatvédelmi biztossal, aki 2024. július 22-én kedvező véleményt nyilvánított. A személyes adatok e rendelet hatálya alá tartozó bármely kezelését az (EU) 2018/1725 rendeletben meghatározott, alkalmazandó adatvédelmi elvekkel és rendelkezésekkel összhangban kell végezni,

ELFOGADTA EZT A RENDELETET:

1. cikk

Sablon a jelentős IKT-vonatkozású események bejelentésére

(1) A pénzügyi szervezetek az I. mellékletben szereplő sablont használják az (EU) 2022/2554 rendelet 19. cikkének (4) bekezdésében említett kezdeti értesítés, időközi jelentés és zárójelentés benyújtásához az alábbiak szerint:

a kezdeti értesítést benyújtó pénzügyi szervezetek kitöltik a sablon azon adatmezőit, amelyek megfelelnek az (EU) 2025/301 felhatalmazáson alapuló bizottsági rendelet (7) 2. cikkével összhangban szolgáltatandó információknak, és amennyiben már rendelkeznek a vonatkozó információkkal, kitölthetik azokat az adatmezőket, amelyek kitöltése nem szükséges a kezdeti értesítéshez, az időközi jelentés vagy a zárójelentés esetében azonban kötelező;

az időközi jelentést benyújtó pénzügyi szervezetek kitöltik a sablon azon adatmezőit, amelyek megfelelnek az (EU) 2025/301 felhatalmazáson alapuló rendelet 3. cikkével összhangban szolgáltatandó információknak, és amennyiben már rendelkeznek a vonatkozó információkkal, kitölthetik azokat az adatmezőket, amelyek kitöltése nem szükséges az időközi jelentéshez, a zárójelentéshez azonban kötelező;

c)	a zárójelentést benyújtó pénzügyi szervezetek kitöltik a sablon azon adatmezőit, amelyek megfelelnek az (EU) 2025/301 felhatalmazáson alapuló rendelet 4. cikkével összhangban szolgáltatandó információknak.

(2) A pénzügyi szervezeteknek biztosítaniuk kell, hogy a kezdeti értesítésben, valamint az időközi jelentésben és a zárójelentésben szereplő információk hiánytalanok és pontosak legyenek.

(3) Amennyiben a kezdeti értesítés vagy az időközi jelentés benyújtásának időpontjában nem állnak rendelkezésre pontos adatok, a pénzügyi szervezeteknek lehetőség szerint más rendelkezésre álló adatokon és információkon alapuló becsült értékeket kell megadniuk.

(4) Az időközi jelentés vagy a zárójelentés benyújtásakor a pénzügyi szervezetek az I. mellékletben meghatározott sablont használják az összes szükséges információ benyújtására, és adott esetben aktualizálják a kezdeti értesítésben vagy az időközi jelentésben korábban megadott információkat.

(5) A pénzügyi szervezetek az I. mellékletben foglalt sablon kitöltésekor követik a II. mellékletben meghatározott adatjegyzéket és útmutatást.

2. cikk

A kezdeti értesítés, az időközi jelentés és a zárójelentés közös benyújtása

A pénzügyi szervezetek összevonhatják a kezdeti értesítés, az időközi jelentés és a zárójelentés – vagy ezek közül kettő – benyújtását, ha a szokásos tevékenységek helyreálltak, vagy a kiváltó okok elemzése befejeződött, és feltéve, hogy az (EU) xxxx/xxx felhatalmazáson alapuló rendelet 5. cikkében meghatározott határidők teljesülnek.

3. cikk

Ismétlődő IKT-vonatkozású események

Azok a pénzügyi szervezetek, amelyek információt szolgáltatnak az olyan nem jelentős, ismétlődő IKT-vonatkozású eseményekről, amelyek együttesen megfelelnek az (EU) 2024/1772 felhatalmazáson alapuló rendelet 8. cikkének (2) bekezdésében meghatározott, egy jelentős IKT-vonatkozású eseményre vonatkozó feltételeknek, ezt az információt összesített formában szolgáltatják.

4. cikk

Biztonságos elektronikus csatornák használata

(1) A pénzügyi szervezetek az illetékes hatóságuk által rendelkezésre bocsátott biztonságos elektronikus csatornákat használják a kezdeti értesítés, valamint az időközi jelentés és a zárójelentés benyújtásához.

(2) Azok a pénzügyi szervezetek, amelyek nem tudják használni az illetékes hatóságuk által rendelkezésre bocsátott biztonságos elektronikus csatornákat, az illetékes hatósággal egyeztetve más biztonságos eszközökön keresztül tájékoztatják illetékes hatóságukat a jelentős IKT-vonatkozású eseményekről. Ha az illetékes hatóság ezt előírja, a pénzügyi szervezetek – amint erre képesek – az illetékes hatóságuk által elérhetővé tett biztonságos elektronikus csatornán keresztül újra benyújtják a kezdeti értesítést, az időközi jelentést vagy a zárójelentést.

5. cikk

A jelentős IKT-vonatkozású események átcsoportosítása

Ha a pénzügyi szervezet további értékelést követően arra a következtetésre jut, hogy egy korábban súlyosként bejelentett IKT-vonatkozású esemény soha nem felelt meg az (EU) 2024/1772 felhatalmazáson alapuló rendelet 8. cikkében meghatározott, osztályozásra vonatkozó kritériumoknak és küszöbértékeknek, a pénzügyi szervezet értesíti az illetékes hatóságot arról, hogy az IKT-vonatkozású eseményt súlyosról nem súlyosra minősítette át, oly módon, hogy az átsorolásra vonatkozó információkat megadja az e rendelet II. mellékletében meghatározott sablonban a „jelentés típusa” és az „egyéb információk” mezőkkel kapcsolatban.

6. cikk

A jelentéstételi kötelezettségek kiszervezéséről szóló értesítés

(1) Azok a pénzügyi szervezetek, amelyek az (EU) 2022/2554 rendelet 19. cikkének (5) bekezdésével összhangban kiszervezték a jelentős IKT-vonatkozású eseményekkel kapcsolatos bejelentési kötelezettséget, a kiszervezési megállapodás megkötését követően haladéktalanul, de legkésőbb az első értesítés vagy jelentés benyújtása előtt tájékoztatják illetékes hatóságukat a kiszervezési megállapodásról.

(2) A pénzügyi szervezetek kötelesek megadni az illetékes hatóság számára annak a harmadik félnek a nevét, elérhetőségeit és azonosító kódját, amely a jelentős IKT-vonatkozású eseményekkel kapcsolatos értesítéseket vagy jelentéseket benyújtja a nevükben.

(3) A pénzügyi szervezetek tájékoztatják illetékes hatóságukat, mihelyt már nem szervezik ki az (EU) 2022/2554 rendelet 19. cikkének (5) bekezdésében említett bejelentési kötelezettségeiket.

7. cikk

Összesített jelentéstétel

(1) Az a harmadik fél szolgáltató, amelynek az (EU) 2022/2554 rendelet 19. cikkének (5) bekezdésében említett bejelentési kötelezettségeket kiszervezték, használhatja az e rendelet I. mellékletében szereplő sablont arra, hogy egyetlen értesítésben vagy jelentésben összesített információkat szolgáltasson valamely több pénzügyi szervezetet érintő, jelentős IKT-vonatkozású eseményről, és az összes érintett pénzügyi szervezet nevében benyújtsa a szóban forgó értesítést vagy jelentést az illetékes hatóságnak, feltéve, hogy az alábbi feltételek mindegyike teljesül:

a)	a jelentendő jelentős IKT-vonatkozású esemény egy harmadik fél IKT-szolgáltatótól származik vagy azt ilyen szolgáltató okozza;

b)	a harmadik fél szolgáltató az érintett IKT-szolgáltatást egynél több pénzügyi szervezetnek vagy egy vállalatcsoportnak nyújtja;

c)	az IKT-vonatkozású eseményt az összesített értesítésben vagy jelentésben szereplő valamennyi pénzügyi szervezet súlyosnak minősíti;

d)	a jelentős IKT-vonatkozású esemény egyetlen tagállamon belüli pénzügyi szervezeteket érint, és az összesített jelentés olyan pénzügyi szervezetekre vonatkozik, amelyeket ugyanaz az illetékes hatóság felügyel;

e)	az illetékes hatóságok kifejezetten engedélyezték az ilyen típusú pénzügyi szervezeteknek, hogy összesített formában küldjék meg jelentéseiket.

(2) Az (1) bekezdés nem vonatkozik azokra a hitelintézetekre, amelyek a 468/2014/EU európai központi banki rendelet (8) 2. cikkének 16. pontja értelmében jelentősnek minősülnek, a kereskedési helyszínek üzemeltetőire és a központi szerződő felekre, amelyek csak az I. mellékletben található sablont használhatják a jelentős IKT-vonatkozású eseményekről szóló értesítések vagy jelentések illetékes hatóságuknak való egyedi benyújtására.

(3) Ha az illetékes hatóságok tájékoztatást kérnek a jelentős IKT-vonatkozású esemény egyetlen pénzügyi szervezetre gyakorolt egyedi hatásáról, az illetékes hatóság kérésére a pénzügyi szervezet egyedi értesítést vagy jelentést nyújt be a jelentős IKT-vonatkozású eseményről.

8. cikk

A jelentős kiberfenyegetésekről szóló értesítés

(1) Azok a pénzügyi szervezetek, amelyek az (EU) 2022/2554 rendelet 19. cikkének (2) bekezdésével összhangban értesítik az illetékes hatóságokat a jelentős kiberfenyegetésekről, az e rendelet III. mellékletében meghatározott sablont használják, és követik az e rendelet IV. mellékletében meghatározott adatjegyzéket és útmutatót.

(2) A pénzügyi szervezeteknek gondoskodnak róla, hogy a jelentős kiberfenyegetésekről szóló értesítésben szereplő információk hiánytalanok és pontosak legyenek.

9. cikk

Hatálybalépés

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2024. október 23-án.

a Bizottság részéről

az elnök

Ursula VON DER LEYEN

(1) HL L 333., 2022.12.27., 1. o., ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

(2) A Bizottság (EU) 2024/1772 felhatalmazáson alapuló rendelete (2024. március 13.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek az IKT-vonatkozású események és kiberfenyegetések osztályozására vonatkozó kritériumokat, a lényegességi küszöbértékeket és a jelentős eseményekkel kapcsolatos bejelentések részleteit meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről (HL L, 2024/1772, 2024.6.25., ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj).

(3) Az Európai Parlament és a Tanács 1093/2010/EU rendelete (2010. november 24.) az európai felügyeleti hatóság (Európai Bankhatóság) létrehozásáról, a 716/2009/EK határozat módosításáról és a 2009/78/EK bizottsági határozat hatályon kívül helyezéséről (HL L 331., 2010.12.15., 12. o., ELI: http://data.europa.eu/eli/reg/2010/1093/oj).

(4) Az Európai Parlament és a Tanács 1094/2010/EU rendelete (2010. november 24.) az európai felügyeleti hatóság (az Európai Biztosítás- és Foglalkoztatóinyugdíj-hatóság) létrehozásáról, valamint a 716/2009/EK határozat módosításáról és a 2009/79/EK bizottsági határozat hatályon kívül helyezéséről (HL L 331., 2010.12.15., 48. o., ELI: http://data.europa.eu/eli/reg/2010/1094/oj).

(5) Az Európai Parlament és a Tanács 1095/2010/EU rendelete (2010. november 24.) az európai felügyeleti hatóság (Európai Értékpapír-piaci Hatóság) létrehozásáról, a 716/2009/EK határozat módosításáról és a 2009/77/EK bizottsági határozat hatályon kívül helyezéséről (HL L 331., 2010.12.15., 84. o., ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(6) Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) A Bizottság (EU) 2025/301 felhatalmazáson alapuló rendelete (2024. október 23.) az (EU) 2022/2554 európai parlamenti és tanácsi rendeletnek a jelentős IKT-vonatkozású eseményekre vonatkozó kezdeti értesítés, időközi jelentés és zárójelentés tartalmát és határidejét, valamint a jelentős kiberfenyegetésekről szóló önkéntes értesítés tartalmát meghatározó szabályozástechnikai standardok tekintetében történő kiegészítéséről. (HL L, 2025/301, 2025.2.20., ELI: http://data.europa.eu/eli/reg_del/2025/301/oj).

(8) Az Európai Központi Bank 468/2014/EU rendelete (2014. április 16.) az Egységes Felügyeleti Mechanizmuson belül az Európai Központi Bank és az illetékes nemzeti hatóságok, valamint a kijelölt nemzeti hatóságok közötti együttműködési keretrendszer létrehozásáról (SSM-keretrendelet) (EKB/2014/17) (HL L 141., 2014.5.14., 1. o., ELI: http://data.europa.eu/eli/reg/2014/468/oj).

I. MELLÉKLET

A JELENTŐS ESEMÉNYEK BEJELENTÉSÉRE SZOLGÁLÓ SABLONOK

Mező száma	Adatmező
A pénzügyi szervezetre vonatkozó általános információk
1.1.	A beadvány típusa
1.2.	A jelentést benyújtó szervezet megnevezése
1.3.	A jelentést benyújtó szervezet azonosító kódja
1.4.	Az érintett pénzügyi szervezet típusa
1.5.	Az érintett pénzügyi szervezet megnevezése
1.6.	Az érintett pénzügyi szervezet jogalany-azonosítója (LEI)
1.7.	Elsődleges kapcsolattartó személy neve
1.8.	Elsődleges kapcsolattartó személy e-mail-címe
1.9.	Elsődleges kapcsolattartó személy telefonszáma
1.10.	Másodlagos kapcsolattartó személy neve
1.11.	Másodlagos kapcsolattartó személy e-mail-címe
1.12.	Másodlagos kapcsolattartó személy telefonszáma
1.13.	A legfelső szintű anyavállalat megnevezése
1.14.	A legfelső szintű anyavállalat jogalany-azonosítója (LEI)
1.15.	Adatszolgáltatás pénzneme
A kezdeti értesítés tartalma
2.1.	Az eseményhez a pénzügyi szervezet által rendelt hivatkozási kód
2.2.	A jelentős IKT-vonatkozású esemény észlelésének dátuma és időpontja
2.3.	Az IKT-vonatkozású esemény jelentősként való osztályozásának dátuma és időpontja
2.4.	A jelentős IKT-vonatkozású esemény leírása
2.5.	Az esemény bejelentését kiváltó osztályozási kritérium
2.6.	Lényegességi küszöbértékek a „Földrajzi kiterjedés” osztályozási kritérium esetében
2.7.	A jelentős IKT-vonatkozású esemény észlelése
2.8.	Annak jelzése, hogy a jelentős IKT-vonatkozású esemény egy harmadik fél szolgáltatótól vagy más pénzügyi szervezettől származik-e
2.9.	Az üzletmenet-folytonossági terv aktiválása (amennyiben aktiválva van)
2.10.	Egyéb releváns információk
Az időközi jelentés tartalma
3.1.	Az eseményhez az illetékes hatóság által rendelt hivatkozási kód
3.2.	A jelentős IKT-vonatkozású esemény előfordulásának dátuma és időpontja
3.3.	A szolgáltatások, tevékenységek vagy műveletek helyreállításának dátuma és időpontja
3.4.	Az érintett ügyfelek száma
3.5.	Az érintett ügyfelek százalékos aránya
3.6.	Az érintett pénzügyi partnerek száma
3.7.	Az érintett pénzügyi partnerek százalékos aránya
3.8.	A releváns ügyfelekre vagy pénzügyi partnerekre gyakorolt hatás
3.9.	Az érintett tranzakciók száma
3.10.	Az érintett tranzakciók százalékos aránya
3.11.	Az érintett tranzakciók értéke
3.12.	Arra vonatkozó információ, hogy a számadatok tényleges vagy becsült adatok, illetve hogy nem volt semmilyen hatás
3.13.	A hírnevet érintő hatás
3.14.	A hírnevet érintő hatással kapcsolatos háttér-információk
3.15.	A jelentős IKT-vonatkozású esemény időtartama
3.16.	Leállási idő
3.17.	Arra vonatkozó információ, hogy az időtartamra és a leállási időre vonatkozó számadatok tényleges vagy becsült adatok
3.18.	A tagállamokban tapasztalt hatások típusai
3.19.	Annak leírása, hogy a jelentős IKT-vonatkozású esemény milyen hatást fejt ki más tagállamokban
3.20.	Lényegességi küszöbértékek az „Adatvesztés” osztályozási kritérium esetében
3.21.	Az adatvesztés leírása
3.22.	Az „Érintett kritikus szolgáltatások” osztályozási kritérium
3.23.	A jelentős IKT-vonatkozású esemény típusa
3.24.	Egyéb eseménytípusok
3.25.	A fenyegetést jelentő szereplő által alkalmazott fenyegetés és technikák
3.26.	Egyéb típusú technikák
3.27.	Az érintett funkcionális területekre és üzleti folyamatokra vonatkozó információ
3.28.	Az érintett üzleti folyamatokat támogató infrastrukturális összetevők
3.29.	Az érintett üzleti folyamatokat támogató infrastrukturális összetevőkre vonatkozó információk
3.30.	Az ügyfelek pénzügyi érdekeire gyakorolt hatás
3.31.	Bejelentés egyéb hatóságok felé
3.32.	Az „egyéb” hatóságok pontosítása
3.33.	Az esemény utáni helyreállítás érdekében meghozott vagy tervezett ideiglenes intézkedések
3.34.	Az esemény utáni helyreállítás érdekében meghozott vagy tervezett ideiglenes intézkedések leírása
3.35.	Fertőzöttségi mutatók (IoC-k)
A zárójelentés tartalma
4.1.	Az esemény kiváltó okainak magas szintű osztályozása
4.2.	Az esemény kiváltó okainak részletes osztályozása
4.3.	Az esemény kiváltó okainak további osztályozása
4.4.	Egyéb kiváltó ok típusok
4.5.	Az esemény kiváltó okaira vonatkozó információk
4.6.	Az esemény kezelésének összefoglalása
4.7.	Annak dátuma és időpontja, amikor az esemény kiváltó okát kezelték
4.8.	Annak dátuma és időpontja, amikor az eseményt megoldották
4.9.	Abban az esetben megadandó információ, ha az esemény végleges megoldásának időpontja eltér a megvalósítás eredetileg tervezett időpontjától
4.10.	A kritikus funkciókat érintő kockázatok felmérése szanálási célból
4.11.	A szanálási hatóságok számára releváns információk
4.12.	Lényegességi küszöbérték a „Gazdasági hatás” osztályozási kritérium esetében
4.13.	A bruttó közvetlen és közvetett költségek és veszteség összege
4.14.	A megtérülések összege
4.15.	Arra vonatkozó információ, hogy a nem jelentős esemény ismétlődő jellegű-e
4.16.	Az ismétlődő események előfordulásának dátuma és időpontja

II. MELLÉKLET

A jelentős események bejelentésére szolgáló adatjegyzék és útmutatás

Adatmező

Leírás

Kötelező a kezdeti értesítés esetében

Kötelező az időközi jelentés esetében

Kötelező a zárójelentés esetében

Mező típusa

A pénzügyi szervezetre vonatkozó általános információk

1.1.	A beadvány típusa

Adja meg az illetékes hatósághoz az eseményre vonatkozóan benyújtott értesítés vagy jelentés típusát.

Igen

Választási lehetőség:

—	kezdeti értesítés,

—	időközi jelentés,

—	zárójelentés,

—	jelentős esemény átminősítése nem jelentőssé.

1.2.	A jelentést benyújtó szervezet megnevezése

A jelentést benyújtó szervezet teljes hivatalos neve.

Igen

Alfanumerikus

1.3.	A jelentést benyújtó szervezet azonosító kódja

A jelentést benyújtó szervezet azonosító kódja.

Ha pénzügyi szervezetek nyújtják be az értesítést/jelentést, az azonosító kód a jogalany-azonosító (LEI), amely egy egyedi, az ISO 17442-1:2020 szabványon alapuló, 20 alfanumerikus karakterből álló kód.

A pénzügyi szervezet nevében jelentést benyújtó harmadik fél szolgáltató használhatja az (EU) 2022/2554 rendelet 28. cikkének (9) bekezdése alapján elfogadott végrehajtás-technikai standardokban meghatározott azonosító kódot..

Igen

Alfanumerikus

1.4.	Az érintett pénzügyi szervezet típusa

Azon szervezetnek az (EU) 2022/2554 rendelet 2. cikke (1) bekezdésének a)–t) pontja szerinti típusa, amelyre vonatkozóan a jelentést benyújtották.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén az összesített jelentésben feltüntetett különböző típusú pénzügyi szervezeteket kell kiválasztani.

Igen

Választási lehetőség (többet is lehet választani):

—	hitelintézet,

—	pénzforgalmi intézmény,

—	mentesített pénzforgalmi intézmény,

—	számlainformációkat összesítő szolgáltató,

—	elektronikuspénz-kibocsátó intézmény,

—	mentesített elektronikuspénz-kibocsátó intézmény,

—	befektetési vállalkozás,

—	kriptoeszköz-szolgáltató,

—	eszközalapú tokenek kibocsátója,

—	központi értéktár,

—	központi szerződő fél,

—	kereskedési helyszín,

—	kereskedési értéktár,

—	alternatívbefektetésialap-kezelő,

—	alapkezelő társaság,

—	adatszolgáltató,

—	biztosítók és viszontbiztosítók,

—	biztosításközvetítő, viszontbiztosítás-közvetítő és kiegészítő biztosításközvetítői tevékenységet végző személy,

—	foglalkoztatói nyugellátást szolgáltató intézmény,

—	hitelminősítő intézet,

—	kritikus referenciamutatók kezelője,

—	közösségi finanszírozási szolgáltató,

—	értékpapírosítási adattár.

1.5.	Az érintett pénzügyi szervezet megnevezése

A jelentős IKT-vonatkozású esemény által érintett pénzügyi szervezet teljes hivatalos neve, és az (EU) 2022/2554 rendelet 19. cikke értelmében jelentenie kell a jelentős eseményt illetékes hatóságának.

Összesített jelentéstétel esetén:

a)	a jelentős IKT-vonatkozású esemény által érintett összes pénzügyi szervezet nevének felsorolása, pontosvesszővel elválasztva;

b)	a jelentős eseményre vonatkozó értesítést vagy jelentést az e rendelet 7. cikkében említett összesített módon benyújtó harmadik fél szolgáltató sorolja fel az esemény által érintett összes pénzügyi szervezet nevét, pontosvesszővel elválasztva.

Igen, ha az esemény által érintett pénzügyi szervezet nem azonos a jelentést benyújtó szervezettel, valamint összesített jelentéstétel esetén.

Alfanumerikus

1.6.	Az érintett pénzügyi szervezet jogalany-azonosítója (LEI)

A jelentős IKT-vonatkozású esemény által érintett pénzügyi szervezethez a Nemzetközi Szabványügyi Szervezet előírásaival összhangban hozzárendelt jogalany-azonosító (LEI).

Összesített jelentéstétel esetén:

a)	a jelentős IKT-vonatkozású esemény által érintett összes pénzügyi szervezet LEI-kódjának felsorolása, pontosvesszővel elválasztva;

b)	a jelentős eseményre vonatkozó értesítést vagy jelentést az e rendelet 7. cikkében említett összesített módon benyújtó harmadik fél szolgáltató sorolja fel az esemény által érintett összes pénzügyi szervezet LEI-kódját, pontosvesszővel elválasztva.

A LEI-kódokat és a pénzügyi szervezetek nevét azonos sorrendben kell megjeleníteni.

Igen, ha a jelentős IKT-vonatkozású esemény által érintett pénzügyi szervezet nem azonos a jelentést benyújtó szervezettel, valamint összesített jelentéstétel esetén.

Egyedi, az ISO 17442-1:2020 szabványon alapuló, 20 alfanumerikus karakterből álló kód

1.7.	Elsődleges kapcsolattartó személy neve

A pénzügyi szervezet elsődleges kapcsolattartó személyének vezeték- és utóneve.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén az összesített jelentést benyújtó szervezet elsődleges kapcsolattartó személyének neve.

Igen

Alfanumerikus

1.8.	Elsődleges kapcsolattartó személy e-mail-címe

Az elsődleges kapcsolattartó személy e-mail-címe, amelyet az illetékes hatóság a nyomon követő kommunikációhoz használhat.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén az összesített jelentést benyújtó szervezet elsődleges kapcsolattartó személyének e-mail-címe.

Igen

Alfanumerikus

1.9.	Elsődleges kapcsolattartó személy telefonszáma

Az elsődleges kapcsolattartó személy telefonszáma, amelyet az illetékes hatóság a nyomon követő kommunikációhoz használhat.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén az összesített jelentést benyújtó szervezet elsődleges kapcsolattartó személyének telefonszáma.

A telefonszámot minden nemzetközi előhívóval együtt kell megadni (például: +33XXXXXXXXX).

Igen

Alfanumerikus

1.10.

Másodlagos kapcsolattartó személy neve

A másodlagos kapcsolattartó vezeték- és utóneve, illetve a pénzügyi szervezet vagy a pénzügyi szervezet nevében jelentést benyújtó szervezet felelős csoportjának neve.

Igen

Alfanumerikus

1.11.

Másodlagos kapcsolattartó személy e-mail-címe

A másodlagos kapcsolattartó személy e-mail-címe vagy a csoport valamely funkcionális e-mail-címe, amelyet az illetékes hatóság a nyomon követő kommunikációhoz használhat.

Igen

Alfanumerikus

1.12.

Másodlagos kapcsolattartó személy telefonszáma

A másodlagos kapcsolattartó személy vagy egy csoport telefonszáma, amelyet az illetékes hatóság a nyomon követő kommunikációhoz használhat.

A telefonszámot minden nemzetközi előhívóval együtt kell megadni (például: +33XXXXXXXXX).

Igen

Alfanumerikus

1.13.

A legfelső szintű anyavállalat megnevezése

Azon vállalatcsoport legfelső szintű anyavállalatának megnevezése, amelyhez adott esetben az érintett pénzügyi szervezet tartozik.

Igen, ha a pénzügyi szervezet egy vállalatcsoport tagja.

Alfanumerikus

1.14.

A legfelső szintű anyavállalat jogalany-azonosítója (LEI)

Azon vállalatcsoport legfelső szintű anyavállalatának LEI-kódja, amelyhez adott esetben az érintett pénzügyi szervezet tartozik. A Nemzetközi Szabványügyi Szervezet előírásaival összhangban hozzárendelve.

Igen, ha a pénzügyi szervezet egy vállalatcsoport tagja.

Egyedi, az ISO 17442-1:2020 szabványon alapuló, 20 alfanumerikus karakterből álló kód

1.15.

Adatszolgáltatás pénzneme

Az esemény bejelentéséhez használt pénznem.

Igen

Az ISO 4217 szabvány szerinti pénznemkódok alkalmazásával kiválasztandó

A kezdeti értesítés tartalma

2.1.	Az eseményhez a pénzügyi szervezet által rendelt hivatkozási kód

A pénzügyi szervezet által kiadott egyedi hivatkozási kód, amely egyértelműen azonosítja a jelentős IKT-vonatkozású eseményt.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén a harmadik fél szolgáltató által az eseményhez hozzárendelt hivatkozási kód.

Igen

Alfanumerikus

2.2.	Az IKT-vonatkozású esemény észlelésének dátuma és időpontja

Az a dátum és időpont, amikor a pénzügyi szervezet tudomást szerzett az IKT-vonatkozású eseményről.

Ismétlődő eseményeknél az a dátum és időpont, amikor az utolsó IKT-vonatkozású eseményt észlelték.

Igen

Az ISO 8601 szabvány szerinti összehangolt világidő (UTC) (ÉÉÉÉ-HH-NNTóó: pp:mm)

2.3.	Az esemény jelentősként való osztályozásának dátuma és időpontja

Az a dátum és időpont, amikor az IKT-vonatkozású eseményt az (EU) 2024/1772 felhatalmazáson alapuló rendeletben megállapított osztályozási kritériumokkal összhangban jelentősnek minősítették.

Igen

Az ISO 8601 szabvány szerinti összehangolt világidő (UTC) (ÉÉÉÉ-HH-NNTóó: pp:mm)

2.4.	Az IKT-vonatkozású esemény leírása

A jelentős IKT-vonatkozású esemény legfontosabb szempontjainak leírása.

A pénzügyi szervezetek magas szintű áttekintést nyújtanak az alábbi információkról, például a lehetséges okokról, az azonnali hatásokról, az érintett rendszerekről és egyebekről. A pénzügyi szervezetek – amennyiben az ismert vagy észszerűen várható – belefoglalják a jelentésbe, hogy az esemény hatással van-e külső szolgáltatókra vagy más pénzügyi szervezetekre, a szolgáltató vagy pénzügyi szervezet típusát, nevét, megfelelő azonosító kódját és az azonosító kód típusát (pl. LEI vagy EUID).

A későbbi jelentésekben a mező tartalma idővel változhat, hogy tükrözze az IKT-vonatkozású esemény egyre alaposabb megértését, és leírjon minden egyéb, az IKT-vonatkozású esemény tekintetében releváns olyan információt, amelyet az adatmezők nem rögzítettek, beleértve az esemény súlyosságának a pénzügyi szervezet általi belső értékelését (például: nagyon alacsony, alacsony, közepes, magas, nagyon magas), valamint a hierarchiában legmagasabban elhelyezkedő döntési struktúra szintje és megnevezése, amelyet az IKT-vonatkozású eseményre való reagálásba bevontak.

Igen

Alfanumerikus

2.5.	Az esemény bejelentését kiváltó osztályozási kritérium

Az (EU) 2024/1772 felhatalmazáson alapuló rendelet szerinti osztályozási kritériumok, amelyek kiváltották az IKT-vonatkozású eseményt jelentősnek minősítését és az ezt követő értesítést és jelentéstételt.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetében azok az osztályozási kritériumok, amelyek kiváltották legalább egy vagy több pénzügyi szervezet esetében az IKT-vonatkozású esemény jelentősként való minősítését.

Igen

Választási lehetőség (többet is lehet választani):

—	az érintett ügyfelek, pénzügyi partnerek és tranzakciók,

—	a hírnevet érintő hatás,

—	időtartam és leállási idő,

—	földrajzi kiterjedés,

—	adatvesztés,

—	az érintett kritikus szolgáltatások,

—	gazdasági hatás.

2.6.	Lényegességi küszöbértékek a „Földrajzi kiterjedés” osztályozási kritérium esetében

A jelentős IKT-vonatkozású esemény által érintett EGT-tagállamok.

A jelentős IKT-vonatkozású esemény más tagállamokban gyakorolt hatásának értékelésekor a pénzügyi szervezetek figyelembe veszik az (EU) 2024/1772 felhatalmazáson alapuló rendelet 4. és 12. cikkét.

Igen, ha a „Földrajzi kiterjedés” küszöbértéket elérik.

Az ISO 3166 ALPHA-2 szabvány szerinti országkódok alkalmazásával kiválasztandó (több is kiválasztható)

2.7.	A jelentős IKT-vonatkozású esemény észlelése

Annak jelzése, hogy a jelentős IKT-vonatkozású eseményt hogyan észlelték.

Igen

Választási lehetőség:

—	informatikai biztonság,

—	személyzet,

—	belső ellenőrzés,

—	külső ellenőrzés,

—

ügyfelek,

—	pénzügyi szerződő felek,

—	harmadik fél szolgáltató,

—

támadó,

—	ellenőrző rendszerek,

—	hatóság / ügynökség / bűnüldöző szerv,

—

egyéb.

2.8.	Annak jelzése, hogy az esemény egy harmadik fél szolgáltatótól vagy más pénzügyi szervezettől származik-e

Annak jelzése, hogy a jelentős IKT-vonatkozású esemény egy harmadik fél szolgáltatótól vagy más pénzügyi szervezettől származik-e.

A pénzügyi szervezetek jelzik, hogy a jelentős IKT-vonatkozású esemény harmadik féltől vagy más pénzügyi szervezettől származik-e (ide értendők az adatszolgáltató szervezettel azonos csoportba tartozó pénzügyi szervezeteket is), valamint feltüntetik a harmadik fél szolgáltató vagy pénzügyi szervezet nevét, azonosító kódját és az azonosító kód típusát (pl. LEI vagy EUID).

Igen, ha az esemény egy harmadik fél szolgáltatótól vagy más pénzügyi szervezettől származik.

Alfanumerikus

2.9.	Az üzletmenet-folytonossági terv aktiválása (amennyiben aktiválva van)

Annak jelzése, hogy a pénzügyi szervezet üzletmenet-folytonossági válaszintézkedéseit formálisan aktiválták-e.

Igen

Boole-féle (igen vagy nem)

2.10.

Egyéb releváns információk

A sablonban nem szereplő bármely további információ.

Azok a pénzügyi szervezetek, amelyek egy jelentős IKT-vonatkozású eseményt nem jelentősre minősítettek át, ismertetik azokat az okokat, amelyek miatt az jelentős IKT-vonatkozású esemény jelenleg nem felel meg és várhatóan a jövőben sem fog megfelelni azoknak a kritériumoknak, amelyek alapján azt jelentős IKT-vonatkozású eseménynek kellene tekinteni.

Igen, ha a sablonban nem szereplő egyéb információk rendelkezésre állnak, vagy ha a jelentős IKT-vonatkozású eseményt nem jelentőssé minősítették át.

Alfanumerikus

Az időközi jelentés tartalma

3.1.	Az eseményhez az illetékes hatóság által rendelt hivatkozási kód

Az illetékes hatóság által a kezdeti értesítés kézhezvételekor hozzárendelt egyedi hivatkozási kód, amely egyértelműen azonosítja a jelentős IKT-vonatkozású eseményt.

Nem

Igen (adott esetben)

Alfanumerikus

3.2.	Az esemény előfordulásának dátuma és időpontja

A jelentős IKT-vonatkozású esemény bekövetkezésének dátuma és időpontja, ha eltér attól az időponttól, amikor a pénzügyi szervezet tudomást szerzett a jelentős IKT-vonatkozású eseményről.

Ismétlődő jelentős IKT-vonatkozású eseményeknél az a dátum és időpont, amikor az utolsó IKT-vonatkozású esemény bekövetkezett.

Nem

Igen

Az ISO 8601 szabvány szerinti összehangolt világidő (UTC) (ÉÉÉÉ-HH-NNTóó: pp:mm)

3.3.	A szolgáltatások, tevékenységek vagy műveletek helyreállításának dátuma és időpontja

Információ a jelentős IKT-vonatkozású esemény által érintett szolgáltatások, tevékenységek vagy műveletek helyreállításának dátumáról és időpontjáról.

Nem

Igen, ha a 3.16. adatmező „Leállási idő” kitöltésre került.

Az ISO 8601 szabvány szerinti összehangolt világidő (UTC) (ÉÉÉÉ-HH-NNTóó: pp:mm)

3.4.	Az érintett ügyfelek száma

A jelentős IKT-vonatkozású esemény által érintett ügyfelek száma, akik igénybe veszik a pénzügyi szervezet által nyújtott szolgáltatást.

Az érintett ügyfelek számának értékelésekor a pénzügyi szervezetek figyelembe veszik az (EU) 2024/1772 felhatalmazáson alapuló rendelet 1. cikkének (1) bekezdését és 9. cikke (1) bekezdésének b) pontját. Az a pénzügyi szervezet, amely nem tudja meghatározni az érintett ügyfelek tényleges számát, az összehasonlítható referencia-időszakokból rendelkezésre álló adatokon alapuló becsléseket alkalmaz.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén az érintett ügyfelek teljes száma az összes pénzügyi szervezet esetében.

Nem

Igen

Egész számérték

3.5.	Az érintett ügyfelek százalékos aránya

A jelentős IKT-vonatkozású esemény által érintett ügyfelek százalékos aránya azon ügyfelek teljes számához viszonyítva, akik igénybe veszik a pénzügyi szervezet által nyújtott, érintett szolgáltatást. Egynél több érintett szolgáltatás esetén a szolgáltatásokra vonatkozó információkat összesített módon kell nyújtani.

A pénzügyi szervezetek értékelésük során figyelembe veszik az (EU) 2024/1772 felhatalmazáson alapuló rendelet 1. cikkének (1) bekezdését és 9. cikke (1) bekezdésének a) pontját.

Az a pénzügyi szervezet, amely nem tudja meghatározni az érintett ügyfelek tényleges százalékos arányát, összehasonlítható referencia-időszakokból rendelkezésre álló adatokon alapuló becsléseket alkalmaz.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén a pénzügyi szervezet az összes érintett ügyfél összegét elosztja az összes érintett pénzügyi szervezet teljes ügyfélszámával.

Nem

Igen

Százalékban kifejezve – legfeljebb 1 tizedesjeggyel együtt legfeljebb 5 numerikus karakterből álló bármely, százalékban kifejezett érték (pl. 2,4 % helyett 2,4). Ha az értéknek a tizedesjel után több mint egy számjegye van, az adatszolgáltató szerződő feleknek felfelé kell kerekíteniük.

3.6.	Az érintett pénzügyi partnerek száma

A jelentős IKT-vonatkozású esemény által érintett pénzügyi partnerek száma, amelyek szerződést kötöttek a pénzügyi szervezettel.

Az érintett pénzügyi partnerek számának értékelésekor a pénzügyi szervezetek figyelembe veszik az (EU) 2024/1772 felhatalmazáson alapuló rendelet 1. cikkének (2) bekezdését. Az a pénzügyi szervezet, amely nem tudja meghatározni az érintett pénzügyi partnerek tényleges számát, az összehasonlítható referencia-időszakokból rendelkezésre álló adatokon alapuló becsléseket alkalmaz.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén az érintett pénzügyi partnerek teljes száma az összes pénzügyi szervezet esetében.

Nem

Igen

Egész számérték

3.7.	Az érintett pénzügyi partnerek százalékos aránya

A jelentős IKT-vonatkozású esemény által érintett pénzügyi partnerek százalékos aránya, azon pénzügyi partnerek teljes számához viszonyítva, amelyek szerződést kötöttek a pénzügyi szervezettel.

Az érintett pénzügyi partnerek százalékos arányának értékelésekor a pénzügyi szervezetek figyelembe veszik az (EU) 2024/1772 felhatalmazáson alapuló rendelet 1. cikkének (1) bekezdését és 9. cikke (1) bekezdésének c) pontját.

Az a pénzügyi szervezet, amely nem tudja meghatározni az érintett pénzügyi partnerek tényleges százalékos arányát, az összehasonlítható referencia-időszakokból rendelkezésre álló adatokon alapuló becsléseket alkalmaz.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén adják meg a pénzügyi szervezet az összes érintett pénzügyi partner összegét elosztja az összes érintett pénzügyi szervezet pénzügyi partnereinek teljes ügyfélszámával.

Nem

Igen

3.8.	A releváns ügyfelekre vagy pénzügyi partnerekre gyakorolt hatás

Az (EU) 2024/1772 felhatalmazáson alapuló rendelet 1. cikkének (3) bekezdésében és 9. cikke (1) bekezdésének f) pontjában említett, az esemény által érintett ügyfelekre vagy pénzügyi partnerre gyakorolt bármely azonosított hatás.

Nem

Igen, ha az „Ügyfelek és pénzügyi partnerek relevanciája” küszöbértéket elérik.

Boole-féle (igen vagy nem)

3.9.	Az érintett tranzakciók száma

A jelentős IKT-vonatkozású esemény által érintett tranzakciók száma.

A tranzakciókra gyakorolt hatás értékelésekor a pénzügyi szervezetek figyelembe veszik az (EU) 2024/1772 felhatalmazáson alapuló rendelet 1. cikkének (4) bekezdését, ideértve az összes olyan belföldi és határokon átnyúló ügyletet, amely pénzösszeget érint, amennyiben az ügylet legalább egy részét az Unióban hajtják végre.

Az a pénzügyi szervezet, amely nem tudja meghatározni az érintett tranzakciók tényleges számát, az összehasonlítható referencia-időszakokból rendelkezésre álló adatokon alapuló becsléseket alkalmaz.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén adják meg az érintett tranzakciók teljes számát az összes pénzügyi szervezet esetében.

Nem

Igen, ha az esemény érint bármely tranzakciót.

Egész számérték

3.10.

Az érintett tranzakciók százalékos aránya

Az érintett tranzakciók százalékos aránya a pénzügyi szervezet által az érintett szolgáltatáshoz kapcsolódóan végrehajtott belföldi és határokon átnyúló tranzakciók napi átlagos számához viszonyítva.

A pénzügyi szervezetek figyelembe veszik az (EU) 2024/1772 felhatalmazáson alapuló rendelet 1. cikkének (4) bekezdését és 9. cikke (1) bekezdésének d) pontját.

Az a pénzügyi szervezet, amely nem tudja meghatározni az érintett tranzakciók tényleges százalékos arányát, becsléseket alkalmaz.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén a pénzügyi szervezet összesít valamennyi érintett tranzakciót, és az így kapott összeget elosztja az összes érintett pénzügyi szervezet teljes tranzakciószámával.

Nem

Igen, ha az esemény érint bármely tranzakciót.

3.11.

Az érintett tranzakciók értéke

A jelentős IKT-vonatkozású esemény által érintett ügyletek összértékét a 2024/1772 felhatalmazáson alapuló rendelet 1. cikkének (4) bekezdésével és 9. cikke (1) bekezdésének e) pontjával összhangban kell értékelni.

Az a pénzügyi szervezet, amely nem tudja meghatározni az érintett tranzakciók tényleges értékét, az összehasonlítható referencia-időszakokból rendelkezésre álló adatokon alapuló becsléseket alkalmaz.

A pénzügyi szervezet a pénzösszeget pozitív értékként jelenti.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén az érintett tranzakciók teljes értéke az összes pénzügyi szervezet esetében.

Nem

Igen, ha az esemény érint tranzakciókat.

Igen, ha az esemény érint bármely tranzakciót.

Pénzösszeg

A pénzügyi szervezeteknek az adatpontot egységekben kell megadniuk, minimálisan ezer egységnek megfelelő pontossággal (pl. 2 500 EUR helyett 2,5).

3.12.

Arra vonatkozó információ, hogy a számadatok tényleges vagy becsült adatok, illetve hogy nem volt semmilyen hatás

Arra vonatkozó információ, hogy a 3.4–3.11. mezőkben jelentett értékek tényleges vagy becsült adatok, illetve hogy nem volt semmilyen hatás.

Nem

Igen

Választási lehetőség (többet is lehet választani):

—	az érintett ügyfelekre vonatkozó tényleges számadatok,

—	az érintett pénzügyi partnerekre vonatkozó tényleges számadatok,

—	az érintett tranzakciókra vonatkozó tényleges számadatok,

—	az érintett ügyfelekre vonatkozó becslések,

—	az érintett pénzügyi partnerekre vonatkozó becslések,

—	az érintett tranzakciókra vonatkozó becslések,

—	nincs az ügyfelekre gyakorolt hatás,

—	nincs a pénzügyi partnerekre gyakorolt hatás,

—	nincs a tranzakciókra gyakorolt hatás.

3.13.

A hírnevet érintő hatás

Az (EU) 2024/1772 felhatalmazáson alapuló rendelet 2. és 10. cikkében említett jelentős IKT-vonatkozású esemény hírnevet érintő hatására vonatkozó információk.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén a hírnévre gyakorolt hatás azon kategóriái, amelyek legalább egy pénzügyi szervezetre vonatkoznak.

Nem

Igen, ha a „Hírnevet érintő hatás” kritérium teljesül.

Választási lehetőség (többet is lehet választani):

—	a média beszámolt a jelentős IKT-vonatkozású eseményről,

—	a jelentős IKT-vonatkozású esemény különböző ügyfelektől vagy pénzügyi partnerektől ismétlődő panaszokat eredményezett az ügyfeleknek nyújtott személyes szolgáltatások vagy a kritikus üzleti kapcsolatok vonatkozásában,

—	a pénzügyi szervezet a jelentős IKT-vonatkozású esemény következtében nem lesz képes vagy valószínűsíthetően nem lesz képes teljesíteni a szabályozási követelményeket,

—	a pénzügyi szervezet a jelentős IKT-vonatkozású esemény következtében elveszíti vagy valószínűleg elveszíti az üzleti tevékenységére jelentős hatást gyakorló ügyfeleit vagy pénzügyi partnereit.

3.14.

A hírnevet érintő hatással kapcsolatos háttér-információk

Azt ismertető információk, hogy a jelentős IKT-vonatkozású esemény hogyan befolyásolta vagy befolyásolhatja a pénzügyi szervezet hírnevét, beleértve a jogsértéseket, a nem teljesített szabályozási követelményeket, az ügyfélpanaszok számát és egyebeket.

A háttérinformációknak tartalmazniuk kell a médiumok típusát (pl. hagyományos és digitális média, blogok, streaming platformok) és a médiavisszhangot, beleértve a médiumok elérését (helyi, nemzeti, nemzetközi). Médiavisszhang alatt ebben az összefüggésben nem a közösségi hálózatok követőinek vagy felhasználóinak néhány negatív kommentárja értendő.

A pénzügyi szervezetnek jeleznie kell azt is, hogy a médiavisszhang kiemelte-e az ügyfeleit a jelentős IKT-vonatkozású eseménnyel kapcsolatosan érintő számottevő kockázatokat, beleértve a pénzügyi szervezet fizetésképtelenségének vagy pénzeszközei elvesztésének kockázatát.

A pénzügyi szervezeteknek azt is jelezniük kell, hogy a média rendelkezésére bocsátottak-e olyan információkat, amelyek a nyilvánosság megbízható tájékoztatását szolgálták a jelentős IKT-vonatkozású eseménnyel és annak következményeivel kapcsolatban.

A pénzügyi szervezetek azt is jelezhetik, hogy az IKT-vonatkozású eseménnyel kapcsolatban jelentek-e meg hamis információk a médiában, ideértve a fenyegető szereplők által tudatosan terjesztett hamis információkat, vagy a pénzügyi szervezet weboldalának megrongálásához kapcsolódó vagy azt illusztráló információkat.

Nem

Igen, ha a „Hírnevet érintő hatás” kritérium teljesül.

Alfanumerikus

3.15.

Az esemény időtartama

A pénzügyi szervezetek mérik a jelentős IKT-vonatkozású esemény időtartamát annak bekövetkezése pillanatától az esemény megoldásának pillanatáig.

Azok a pénzügyi szervezetek, amelyek nem tudják meghatározni a jelentős IKT-vonatkozású esemény bekövetkezésének pillanatát, annak időtartamát attól a pillanattól kezdve mérik, amikor a pénzügyi szervezet észlelte az eseményt és a pénzügyi szervezet rögzítette az eseményt a hálózati vagy rendszernaplókban vagy más adatforrásokban. Azoknak a pénzügyi szervezeteknek, amelyek még nem tudják, hogy a jelentős IKT-vonatkozású eseményt mikorra tudják megoldani, becsléseket kell alkalmazniuk. Az értéket napokban, órákban és percekben kell megadni.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén a pénzügyi szervezetek a közöttük lévő eltérések esetén a jelentős IKT-vonatkozású esemény leghosszabb időtartamát mérik.

Nem

Igen

NN:ÓÓ:PP

3.16.

Leállási idő

A leállási idő attól a pillanattól kezdődően számítva, amikor a szolgáltatás teljesen vagy részben elérhetetlenné vált az ügyfelek, pénzügyi partnerek vagy más belső vagy külső felhasználók számára, egészen addig a pillanatig, amikor a rendszeres tevékenységek vagy műveletek visszaállnak arra a szolgáltatási szintre, amelyet a jelentős IKT-vonatkozású eseményt megelőzően nyújtottak.

Amennyiben a leállási idő a rendszeres tevékenységek vagy műveletek visszaállítását követően késlelteti a szolgáltatásnyújtást, a pénzügyi szervezeteknek a leállási időt a jelentős IKT-vonatkozású esemény kezdetétől addig a pillanatig kell mérniük, amikor a késleltetést szenvedett szolgáltatás ismét nyújtható. Azok a pénzügyi szervezetek, amelyek nem tudják meghatározni a leállás kezdetének időpontját, a leállási időt az esemény észlelésének és rögzítésének időpontja közül a korábbitól mérik.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén a pénzügyi szervezetek a közöttük lévő eltérések esetén a leghosszabb leállási időtartamot mérik.

Nem

Igen, az esemény leállást idézett elő.

NN:ÓÓ:PP

3.17.

Arra vonatkozó információ, hogy az időtartamra és a leállási időre vonatkozó számadatok tényleges vagy becsült adatok

Arra vonatkozó információ, hogy a 3.15. és 3.16. adatmezőkben jelentett értékek tényleges vagy becsült adatok.

Nem

Igen, ha az „Időtartam és leállási idő” kritérium teljesül.

Választási lehetőség:

—	tényadatok,

—	becslések,

—	tényadatok és becslések,

—	nem áll rendelkezésre információ.

3.18.

A tagállamokban tapasztalt hatások típusai

Az EGT-tagállamokban tapasztalt hatás típusai.

Annak jelzése, hogy a jelentős IKT-vonatkozású eseménynek volt-e az (EU) 2024/1772 felhatalmazáson alapuló rendelet 4. cikke értelmében hatása más EGT-tagállamokra (kivéve azon illetékes hatóság tagállamát, amelyhez az eseményt közvetlenül jelentették), különös tekintettel a hatás jelentőségére az alábbiakkal kapcsolatban:

a)	más tagállamokban érintett ügyfelek és pénzügyi partnerek; vagy

b)	a csoporton belüli, más tagállamokban tevékenységet folytató fióktelepek vagy egyéb pénzügyi szervezetek; vagy

c)	pénzügyi piaci infrastruktúrák vagy harmadik fél szolgáltatók, amelyek hatással lehetnek más tagállamok olyan pénzügyi szervezeteire, amelyek számára szolgáltatásokat nyújtanak.

Nem

Igen, ha a „Földrajzi kiterjedés” küszöbértéket elérik.

Választási lehetőség (többet is lehet választani):

—

ügyfelek,

—	pénzügyi szerződő felek,

—	a pénzügyi szervezet fióktelepe,

—	a csoporton belüli, az adott tagállamban tevékenységet folytató pénzügyi szervezetek,

—	a pénzügyi piaci infrastruktúra,

—	olyan harmadik fél szolgáltatók, amelyeket más pénzügyi szervezetek is igénybe vehetnek.

3.19.

Annak leírása, hogy a jelentős IKT-vonatkozású esemény milyen hatást fejt ki más tagállamokban

A jelentős IKT-vonatkozású esemény hatásának és súlyosságának leírása az egyes érintett tagállamokban, beleértve a következőkre gyakorolt hatásnak és annak súlyosságának értékelését:

ügyfelek;

b)	pénzügyi szerződő felek;

c)	a pénzügyi szervezet fióktelepei;

d)	a csoporton belüli, az adott tagállamban tevékenységet folytató egyéb pénzügyi szervezetek;

e)	pénzügyi piaci infrastruktúrák;

f)	olyan harmadik fél szolgáltatók, amelyeket más pénzügyi szervezetek is igénybe vehetnek (amennyiben ez alkalmazható más tagállam(ok)ban).

Nem

Igen, ha a „Földrajzi kiterjedés” küszöbértéket elérik.

Alfanumerikus

3.20.

Lényegességi küszöbértékek az „Adatvesztés” osztályozási kritérium esetében

A jelentős IKT-vonatkozású eseménnyel járó adatvesztés típusa az adatok rendelkezésre állásához, hitelességéhez, integritásához vagy bizalmas jellegéhez kapcsolódóan.

A pénzügyi szervezetek figyelembe veszik az (EU) 2024/1772 felhatalmazáson alapuló rendelet 5. és 13. cikkét.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén a legalább egy pénzügyi szervezetet érintő adatvesztések kategóriái.

Nem

Igen, ha az „Adatvesztés” kritérium teljesül.

Választási lehetőség (többet is lehet választani):

—	rendelkezésre állás,

—	hitelesség,

—	integritás,

—	bizalmas adatkezelés.

3.21.

Az adatvesztés leírása

A jelentős IKT-vonatkozású esemény által a kritikus adatok elérhetőségére, hitelességére, integritására és bizalmasságára gyakorolt hatás leírása a 2024/1772 felhatalmazáson alapuló rendelet 5. és 13. cikkével összhangban.

A pénzügyi szervezet üzleti céljainak megvalósítására vagy a szabályozási követelmények teljesítésére gyakorolt hatásra vonatkozó információ.

A nyújtott információk között a pénzügyi szervezeteknek jelezniük kell, hogy az érintett adatok ügyféladatok, más szervezetek (például pénzügyi partnerek) adatai, vagy magának a pénzügyi szervezetnek az adatai.

A pénzügyi szervezet megjelölheti az esemény által érintett adatok típusát is – különösen azt, hogy az adatok bizalmasak-e, és milyen típusú titoktartásról volt szó (pl. kereskedelmi/üzleti titoktartás, személyes adatok, szakmai titoktartás, ezen belül: banki titoktartás, biztosítási titoktartás, pénzforgalmi szolgáltatásokkal kapcsolatos titoktartás stb.).

Az információ tartalmazhat az adatvesztéshez kapcsolódó lehetséges kockázatokat is, például azt, hogy az esemény által érintett adatok felhasználhatók-e egyének azonosítására, és a fenyegető szereplő felhasználhatja-e azokat arra, hogy az egyének hozzájárulása nélkül hitelhez vagy kölcsönhöz jusson, adathalász támadásokat hajtson végre, vagy nyilvánosan közzé tegye az információkat.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén az esemény érintett pénzügyi szervezetekre gyakorolt hatásának általános leírása. Ha a hatások eltérőek, a hatás leírásának egyértelműen jeleznie kell az egyes különböző pénzügyi szervezetekre gyakorolt konkrét hatást.

Nem

Igen, ha az „Adatvesztés” kritérium teljesül.

Alfanumerikus

3.22.

Az „Érintett kritikus szolgáltatások” osztályozási kritérium

Az „Érintett kritikus szolgáltatások” kritériumhoz kapcsolódó információk.

A pénzügyi szervezetek értékelésük során figyelembe veszik az (EU) 2024/1772 felhatalmazáson alapuló rendelet 6. cikkét, beleértve a következőkre vonatkozó információkat:

—	az érintett szolgáltatások vagy tevékenységek, amelyek engedélyezést, regisztrációt igényelnek, vagy amelyeket az illetékes hatóságok felügyelnek, vagy

—	a pénzügyi szervezet kritikus vagy fontos funkcióit támogató IKT-szolgáltatások vagy hálózati és információs rendszerek, valamint

—	a pénzügyi szervezet hálózatához és információs rendszereihez való rosszindulatú és jogosulatlan hozzáférés jellege.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén azon kritikus szolgáltatásokra gyakorolt hatás, amely legalább egy pénzügyi szervezetet érint.

Nem

Igen

Alfanumerikus

3.23.

Az esemény típusa

Az események típus szerinti osztályozása.

Nem

Igen

Választási lehetőség (többet is lehet választani):

—	kiberbiztonsághoz kapcsolódó,

—	folyamathiba,

—	rendszerhiba,

—	külső esemény,

—	fizetésekhez kapcsolódó,

—	egyéb (kérjük, részletezze).

3.24.

Egyéb eseménytípusok

Az IKT-vonatkozású események egyéb típusai: azoknak a pénzügyi szervezeteknek, amelyek a 3.23. adatmezőben az események típusára vonatkozóan „egyéb” választ adtak, meg kell adniuk az IKT-val kapcsolatos esemény típusát.

Nem

Igen, ha a 3.23. adatmezőben az eseménytípus kapcsán az „Egyéb” lehetőséget választották ki.

Alfanumerikus

3.25.

A fenyegetést jelentő szereplő által alkalmazott fenyegetés és technikák

A fenyegető szereplő által alkalmazott fenyegetéseket és technikákat, amelyek többek között a következők lehetnek:

a)	pszichológiai manipuláció (social engineering), beleértve az adathalászatot;

b)	(elosztott) szolgáltatásmegtagadásos támadás ((D)DoS);

c)	személyazonosító adatokkal való visszaélés;

d)	adattitkosítás bizonyos hatás elérése érdekében, beleértve a zsarolóvírusokat;

e)	az erőforrások eltérítése;

f)	adatszivárogtatás és -manipuláció, beleértve a személyazonosító adatokkal való visszaélést;

g)	adatmegsemmisítés;

h)	honlaprongálásos támadás (defacement);

i)	ellátási láncok ellen elkövetett támadás;

j)	egyéb (kérjük, részletezze).

Nem

Igen, ha az IKT-vonatkozású esemény 3.23. mezőben kiválasztott típusa „kiberbiztonsághoz kapcsolódó”.

Választási lehetőség (többet is lehet választani):

—	pszichológiai manipuláció (social engineering), beleértve az adathalászatot,

—	(elosztott) szolgáltatásmegtagadásos támadás ((D)DoS),

—	személyazonosító adatokkal való visszaélés,

—	adattitkosítás bizonyos hatás elérése érdekében, beleértve a zsarolóvírusokat,

—	erőforrások eltérítése,

—	adatszivárogtatás és -manipuláció, beleértve a személyazonosító adatokkal való visszaélést,

—	adatmegsemmisítés,

—	honlaprongálásos támadás (defacement),

—	ellátási láncok ellen elkövetett támadás,

—	egyéb (kérjük, részletezze).

3.26.

Egyéb típusú technikák

Egyéb típusú technikák.

Azoknak a pénzügyi szervezeteknek, amelyek a 3.25. adatmezőben a technika típusára vonatkozóan „egyéb” választ adtak, meg kell adniuk a technika típusát.

Nem

Igen, ha a 3.25. adatmezőben a technikatípus kapcsán az „Egyéb” lehetőséget választották ki.

Alfanumerikus

3.27.

Az érintett funkcionális területekre és üzleti folyamatokra vonatkozó információ

Az esemény által érintett funkcionális területek és üzleti folyamatok feltüntetése, beleértve az érintett termékeket és szolgáltatásokat is.

A funkcionális területek magukban foglalják például, de nem kizárólagosan a következőket:

a)	marketing és üzletfejlesztés;

b)	ügyfélszolgálat;

c)	termékmenedzsment;

d)	a jogszabályi rendelkezések tiszteletben tartása;

e)	kockázatkezelés;

f)	pénzügy és számvitel;

g)	HR és általános szolgáltatások;

h)	információtechnológia.

Az üzleti folyamatok foglalják például, de nem kizárólagosan a következőket:

—	számlainformációk,

—	biztosítási statisztikai szolgáltatások,

—	fizetési tranzakciók szerzése,

—	hitelesítés/engedélyezés,

—	illetékes hatóság befogadása,

—	ügyfélbefogadás,

—	a juttatások adminisztrációja,

—	juttatások kifizetésének kezelése,

—	biztosítási csomagtermékek biztosítók közötti adásvétele,

—	kártyás fizetések,

—	pénzgazdálkodás,

—	készpénzfizetés vagy -kivét,

—	követeléskezelés,

—	biztosítási kártérítési igény folyamata,

—

klíring,

—	vállalati hitelezési konglomerátumok,

—	csoportos biztosítások,

—	átutalások,

—	őrzés és eszközök letéti őrzése,

—	vevőbefogadás (customer onboarding),

—	adatbevitel,

—	adatkezelés,

—	csoportos beszedések,

—	exportbiztosítások,

—	ügyletek véglegesítése,

—	pénzügyi eszközök kihelyezése,

—	pénzeszközök elszámolása,

—

deviza,

—	befektetési tanácsadás,

—	befektetéskezelés,

—	készpénz-helyettesítő fizetési eszközök kibocsátása,

—	hitelezéskezelés,

—	életbiztosításokkal kapcsolatos fizetési folyamatok,

—	készpénzátutalás,

—	nettóeszközérték-számítás,

—	megbízások adása/teljesítése,

—	fizetés kezdeményezése,

—	biztostási kockázatvállalás;

—	portfóliókezelés,

—	biztosítási díj beszedése,

—	fogadás/továbbítás/végrehajtás,

—	viszontbiztosítás,

—	kiegyenlítés,

—	tranzakciók felügyelete.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén azok a funkcionális területek és üzleti folyamatok, amelyeket legalább egy pénzügyi szervezetnél érintett az esemény.

Nem

Igen

Alfanumerikus

3.28.

Az érintett üzleti folyamatokat támogató infrastrukturális összetevők

Arra vonatkozó információ, hogy az üzleti folyamatokat támogató infrastrukturális összetevőket (szerverek, operációs rendszerek, szoftverek, alkalmazásszerverek, köztesszoftverek, hálózati összetevők stb.) érintette-e a jelentős IKT-vonatkozású esemény.

Nem

Igen

Választási lehetőség:

—

igen,

—

nem,

—	nem áll rendelkezésre információ.

3.29.

Az érintett üzleti folyamatokat támogató infrastrukturális összetevőkre vonatkozó információk

A jelentős IKT-vonatkozású esemény üzleti folyamatokat támogató infrastrukturális összetevőkre – beleértve a hardvereket és a szoftvereket – gyakorolt hatásának leírása.

A hardverek közé tartoznak a szerverek, a számítógépek, az adatközpontok, az adatátviteli kapcsolók (switch-ek), a routerek és a hubok. A szoftverek magukban foglalják az operációs rendszereket, az alkalmazásokat, az adatbázisokat, a biztonsági eszközöket, a hálózati összetevőket, és egyebeket (kérjük, adja meg). A leírásoknak ismertetniük kell vagy meg kell nevezniük az érintett infrastrukturális összetevőket vagy rendszereket, és amennyiben rendelkezésre állnak az alábbiakat:

a)	verzióadatok;

b)	belső/részben kiszervezett/teljes egészében kiszervezett infrastruktúra – a harmadik fél szolgáltató neve;

c)	az infrastruktúrán osztozik-e több üzleti funkció;

d)	hatályos rezilienciáról / folytonosságról / helyreállításról / helyettesíthetőségről szóló megállapodások.

Nem

Igen, ha az esemény érintett az üzleti folyamatokat támogató infrastrukturális összetevőket.

Alfanumerikus

3.30.

Az ügyfelek pénzügyi érdekeire gyakorolt hatás

Arra vonatkozó információ, hogy a jelentős IKT-vonatkozású esemény hatással volt-e az ügyfelek pénzügyi érdekeire.

Nem

Igen

Választási lehetőség:

—

igen,

—

nem,

—	nem áll rendelkezésre információ.

3.31.

Bejelentés egyéb hatóságok felé

Annak pontosítása, hogy mely hatóságokat tájékoztatták a jelentős IKT-vonatkozású eseményről.

Figyelembe véve a tagállamok nemzeti jogszabályaiból eredő különbségeket, a bűnüldöző hatóságok fogalmát a pénzügyi szervezeteknek tágan kell értelmezniük, és ezek magukban foglalják a számítástechnikai bűnözés üldözésére felhatalmazott hatóságokat is, beleértve a rendőrséget, a bűnüldöző szerveket és az ügyészeket.

Nem

Igen

Választási lehetőség (többet is lehet választani):

—	rendőrség/bűnüldöző szervek,

—	számítógép-biztonsági eseményekre reagáló csoport (CSIRT),

—	adatvédelmi hatóság,

—	nemzeti kiberbiztonsági hivatal,

—	egyik sem,

—	egyéb (kérjük, részletezze).

3.32.

Az „egyéb” hatóságok pontosítása

A jelentős IKT-vonatkozású eseményről értesített „egyéb” típusú hatóságok pontosítása.

Ha a 3.31. adatmezőben az „Egyéb” lehetőség került kiválasztásra: a leírásnak részletesebb információval kell szolgálnia arról a hatóságról, amelyhez a pénzügyi szervezet az IKT-val kapcsolatos jelentős eseménnyel kapcsolatos információkat nyújtott be.

Nem

Igen, ha a pénzügyi szervezet „egyéb” típusú hatóságokat is tájékoztatott a jelentős IKT-vonatkozású eseményről.

Alfanumerikus

3.33.

Az esemény utáni helyreállítás érdekében meghozott vagy tervezett ideiglenes intézkedések

Annak feltüntetése, hogy a pénzügyi szervezet végrehajtott-e (vagy tervez-e végrehajtani) a jelentős IKT-vonatkozású esemény utáni helyreállítás érdekében végrehajtott (vagy végrehajtani tervezett) átmeneti intézkedéseket.

Nem

Igen

Boole-féle (igen vagy nem)

3.34.

Az esemény utáni helyreállítás érdekében meghozott vagy tervezett ideiglenes intézkedések leírása

Tájékoztatni kell a végrehajtott azonnali intézkedésekről, beleértve az esemény hálózati szintű izolálását, az aktivált megkerülő (workaround) eljárásokat, a letiltott USB-portokat, az aktivált összeomlás utáni adat-helyreállítási helyszínt, valamint az ideiglenesen bevezetett egyéb további biztonsági kontrollokat.

A pénzügyi szervezeteknek fel kell tüntetniük az ideiglenes intézkedések végrehajtásának dátumát és időpontját, valamint az elsődleges helyszínre való visszatérés várható időpontját. Bármely ideiglenes intézkedés esetében, amelyet még nem hajtottak végre, de terveznek, meg kell jelölni azt a dátumot, ameddig ezek végrehajtása várható.

Ha nem történt ideiglenes intézkedés, kérjük, jelölje meg az okokat.

Nem

Igen, ha ideiglenes intézkedéseket tettek vagy tervben van ezek megtétele (3.33. adatmező).

Alfanumerikus

3.35.

Fertőzöttségi mutatók (IoC-k)

A jelentős IKT-vonatkozású eseménnyel kapcsolatos információk, amelyek adott esetben segíthetnek azonosítani a hálózaton vagy információs rendszeren belüli rosszindulatú tevékenységeket (fertőzöttségi mutatók, IoC-k).

Ez a mező csak azokra a pénzügyi szervezetekre vonatkozik, amelyek az (EU) 2022/2555 európai parlamenti és tanácsi irányelv (1) hatálya alá tartoznak, valamint adott esetben azokra a pénzügyi szervezetekre, amelyek az (EU) 2022/2555 irányelv 3. cikkét átültető nemzeti jogszabályok alapján alapvető vagy fontos szervezetként azonosítottak.

A pénzügyi szervezet által átadott fertőzöttségi mutatók a következő adatkategóriákat tartalmazzák:

IP-címek;

b)	URL-címek;

domainek;

d)	fájlt hash-ek;

e)	a rosszindulatú programokra vonatkozó adatok (rosszindulatú program neve, fájlnevek és azok helye, a rosszindulatú programokkal kapcsolatos konkrét regisztrációsadatbázis-kulcsok);

f)	a hálózati tevékenységre vonatkozó adatok (portok, protokollok, címek, hivatkozók [referer], felhasználói ügynökök, fejlécek, konkrét naplók vagy a hálózati forgalomban megkülönböztető minták);

g)	az e-mail-üzenetek adatai (feladó, címzett, tárgy, fejléc, tartalom);

h)	DNS-lekérdezések és nyilvántartás-konfigurációk;

i)	a felhasználói fiókban végrehajtott tevékenységekre vonatkozó adatok (bejelentkezések, a különleges jogosultságokkal rendelkező felhasználói fiókok tevékenysége, jogosultságeszkaláció);

j)	adatbázis-forgalom (olvasás/írás), ugyanarra a fájlra irányuló lekérdezések.

A gyakorlatban az ilyen típusú információkban szerepelhetnek többek között az ismert támadásoknak / botnet-kommunikációnak megfelelő hálózatiforgalom-mintázatokat leíró indikátorok, a rosszindulatú programokkal (botokkal) fertőzött gépek IP-címe, a rosszindulatú programok által használt parancs- és vezérlő (C&C) szerverekkel kapcsolatos adatok (általában domainek vagy IP-címek), valamint adathalász webhelyekhez, illetve rosszindulatú programokat vagy exploit kit-eket tároló webhelyekhez köthető URL-ek.

Nem

Igen, ha a 3.23. adatmezőben az eseménytípus kapcsán a „kiberbiztonsághoz kapcsolódó” lehetőséget választották ki.

Alfanumerikus

A zárójelentés tartalma

4.1.	Az esemény kiváltó okainak magas szintű osztályozása

A jelentős IKT-vonatkozású esemény kiváltó okának magas szintű osztályozása az eseménytípusok szerint, beleértve a következő magas szintű kategóriákat:

a)	rosszindulatú tevékenységek;

b)	folyamathiba;

c)	rendszer meghibásodása / működési zavarai;

d)	emberi mulasztás;

e)	külső esemény.

Nem

Igen

Választási lehetőség (többet is lehet választani):

—	rosszindulatú tevékenységek;

—	folyamathiba;

—	rendszer meghibásodása / működési zavara;

—	emberi mulasztás;

—	külső esemény.

4.2.	Az esemény kiváltó okainak részletes osztályozása

A jelentős IKT-vonatkozású esemény kiváltó okainak részletes osztályozása az eseménytípusok szerint, beleértve a 4.1. adatmezőben jelentett magas szintű kategóriákhoz kapcsolódó, következő részletes kategóriákat:

Rosszindulatú tevékenységek (ha ezt a lehetőséget választották, akkor válasszanak egyet vagy többet az alábbiak közül):

a)	szándékos belső tevékenységek;

b)	szándékos fizikai károkozás/manipuláció/lopás;

c)	csalásra irányuló tevékenységek.

Folyamathiba (ha ezt a lehetőséget választották, akkor válasszanak egyet vagy többet az alábbiak közül):

a)	elégtelen felügyelet, illetve a felügyelet és ellenőrzés elmulasztása;

b)	elégtelen/nem egyértelmű szerep- és felelősségi körök;

c)	az IKT-kockázatkezelési folyamat elmulasztása;

d)	az IKT-műveletek és az IKT-biztonsági műveletek elégtelensége vagy elmulasztása;

e)	az IKT-projektmenedzsment elégtelensége vagy elmulasztása;

f)	nem megfelelő belső szabályzatok, eljárások és dokumentáció;

g)	az IKT-rendszerek nem megfelelő beszerzése, fejlesztése vagy karbantartása;

h)	egyéb (kérjük, részletezze).

Rendszer meghibásodása / működési zavarai (ha ezt a lehetőséget választották, akkor válasszanak egyet vagy többet az alábbiak közül):

a)	hardverkapacitás és -teljesítmény: olyan hardvererőforrások által előidézett jelentős IKT-vonatkozású események, amelyek kapacitásuk vagy teljesítményük tekintetében nem bizonyulnak megfelelőnek a vonatkozó jogszabályi követelmények teljesítéséhez;

b)	hardverkarbantartás: a hardverkomponensek nem megfelelő vagy elégtelen karbantartásából eredő jelentős IKT-vonatkozású események, kivéve a „Hardverek elavulása/elöregedése”;

c)	hardverek elavulása/elöregedése: a kiváltó okok e típusa olyan jelentős IKT-vonatkozású eseményeket foglal magában, amelyeket elavult vagy elöregedett hardverkomponensek idéznek elő;

szoftverek kompatibilitása / konfigurációja: más szoftverekkel vagy rendszerkonfigurációkkal nem kompatibilis szoftverkomponensek által előidézett jelentős IKT-vonatkozású események, beleértve a szoftverütközésekből, helytelen beállításokból vagy a rendszer általános működését befolyásoló, rosszul konfigurált paraméterekből eredő jelentős IKT-vonatkozású eseményeket;

szoftverteljesítmény: a „Szoftverek kompatibilitása / konfigurációja” részben meghatározottaktól eltérő okok miatt gyenge teljesítményt vagy hatékonyságbeli hiányosságokat mutató szoftverkomponensekből eredő jelentős IKT-vonatkozású események, beleértve a lassú válaszidő, a túlzott erőforrás-felhasználás vagy nem hatékony, a szoftver vagy a rendszer teljesítményét befolyásoló lekérdezés-végrehajtás által előidézett IKT-vonatkozású eseményeket;

hálózati konfiguráció: a helytelen vagy rosszul konfigurált hálózati beállításokból vagy infrastruktúrából eredő jelentős IKT-vonatkozású események, beleértve a hálózati konfigurációs hibák, az útválasztási problémák, a tűzfal hibás konfigurációja vagy egyéb, a csatlakozást vagy kommunikációt befolyásoló, a hálózattal kapcsolatos problémák által előidézett jelentős IKT-vonatkozású eseményeket;

g)	fizikai sérülés: az IKT-infrastruktúra fizikai sérülése által előidézett jelentős IKT-val kapcsolatos események, amelyek rendszerhibákhoz vezetnek;

h)	egyéb (kérjük, részletezze).

Emberi mulasztás (ha ezt a lehetőséget választották, akkor válasszanak egyet vagy többet az alábbiak közül):

a)	mulasztás (nem szándékos);

hiba;

készségek és tudás: olyan jelentős IKT-vonatkozású események, amelyek az IKT-rendszerek vagy -folyamatok kezelésében való szakértelem vagy jártasság hiányából fakadnak, amelyeket a nem megfelelő képzés, az elégtelen ismeretek, illetve a konkrét feladatok elvégzéséhez vagy a technikai kihívások leküzdéséhez szükséges készségek hiányosságai okozhatnak;

nem megfelelő emberi erőforrások: a szükséges erőforrások – beleértve a hardvereket, a szoftvereket, az infrastruktúrát, illetve a személyzetet – hiánya által előidézett jelentős IKT-vonatkozású események, beleértve azokat a helyzeteket is, amikor az elégtelen erőforrások a működés hatékonyságbeli hiányosságaihoz, rendszerhibákhoz vagy ahhoz vezetnek, hogy nem képesek kielégíteni az üzleti igényeket;

e)	kommunikációs félreértések;

f)	egyéb (kérjük, részletezze).

Külső esemény (ha ezt a lehetőséget választották, akkor válasszanak egyet vagy többet az alábbiak közül):

a)	természeti katasztrófák / vis major;

b)	harmadik felek által elkövetett hibák;

c)	egyéb (kérjük, részletezze).

A pénzügyi szervezeteknek az ismétlődő jelentős IKT-vonatkozású események esetében az esemény konkrét, nyilvánvaló kiváltó okát kell figyelembe venniük, nem pedig az e mezőben szereplő, tágabb kategóriákat.

Nem

Igen

Választási lehetőség (többet is lehet választani):

—	rosszindulatú tevékenységek: szándékos belső tevékenységek,

—	rosszindulatú tevékenységek: szándékos fizikai károkozás/manipuláció/lopás;

—	rosszindulatú tevékenységek: csalásra irányuló tevékenységek,

—	folyamathiba: elégtelen felügyelet, illetve a felügyelet és ellenőrzés elmulasztása,

—	folyamathiba: elégtelen/nem egyértelmű szerep- és felelősségi körök,

—	folyamathiba: az IKT-kockázatkezelési folyamat elmulasztása,

—	folyamathiba: az IKT-műveletek és az IKT-biztonsági műveletek elégtelensége vagy elmulasztása,

—	folyamathiba: az IKT-projektmenedzsment elégtelensége vagy elmulasztása,

—	folyamathiba: a belső szabályzatok, eljárások és dokumentáció nem megfelelősége,

—	folyamathiba: az IKT-rendszerek nem megfelelő beszerzése, fejlesztése és karbantartása,

—	folyamathiba: egyéb (kérjük, részletezze),

—	rendszerhiba: hardverkapacitás és -teljesítmény,

—	rendszerhiba: hardverkarbantartás,

—	rendszerhiba: hardverek elavulása/elöregedése,

—	rendszerhiba: szoftverek kompatibilitása / konfigurációja,

—	rendszerhiba: szoftverteljesítmény,

—	rendszerhiba: hálózati konfiguráció,

—	rendszerhiba: fizikai sérülés,

—	rendszerhiba: egyéb (kérjük, részletezze),

—	emberi mulasztás: kihagyás, –

—	emberi mulasztás: hiba;

—	emberi mulasztás: készségek és tudás,

—	emberi mulasztás: nem megfelelő emberi erőforrások,

—	emberi mulasztás – félretájékoztatás,

—	emberi mulasztás: egyéb (kérjük, részletezze),

—	külső esemény: természeti katasztrófák / vis major,

—	külső esemény: harmadik felek által elkövetett hibák,

—	külső esemény: egyéb (kérjük, részletezze).

4.3.	Az esemény kiváltó okainak további osztályozása

A jelentős IKT-vonatkozású esemény kiváltó okainak további osztályozása eseménytípus szerint, beleértve a következő további osztályozási kategóriákat, amelyek a 4.2. adatmezőben jelentendő részletes kategóriákhoz kapcsolódnak.

A zárójelentés esetében e mező kitöltése kötelező, ha a 4.2. adatmezőben olyan konkrét kategóriák szerepelnek, amelyek részletesebb ismertetést igényelnek.

2.a)

A felügyelet és az ellenőrzés elégtelensége vagy elmulasztása:

a)	a szabályzatok betartásának felügyelete;

b)	harmadik fél IKT-szolgáltatók felügyelete;

c)	a sérülékenységek korrekciójának felügyelete és ellenőrzése;

d)	identitás- és hozzáférés-kezelés;

e)	titkosítás és kriptográfia;

naplózás.

2.c)

Az IKT-kockázatkezelési folyamat elmulasztása:

a)	a pontos kockázattűrési szintek meghatározásának elmulasztása;

b)	elégtelen sebezhetőség- és fenyegetésértékelések;

c)	nem megfelelő kockázatkezelési intézkedések;

d)	a fennmaradó IKT-kockázatok rossz kezelése.

2.d)

Az IKT-műveletek és az IKT-biztonsági műveletek elégtelensége vagy elmulasztása:

a)	sérülékenység-menedzsment és a javítócsomagok kezelése;

b)	változáskezelés;

c)	kapacitás- és teljesítménymenedzsment;

d)	IKT-eszközök kezelése és az információk osztályozása;

e)	biztonsági mentés és helyreállítás;

f)	hibakezelés.

2.g)

Az IKT-rendszerek nem megfelelő beszerzése, fejlesztése és karbantartása:

a)	az IKT-rendszerek nem megfelelő beszerzése, fejlesztése és karbantartása;

b)	elégtelen szoftvertesztelés vagy a szoftvertesztelés elmulasztása.

Nem

Igen

Választási lehetőség (többet is lehet választani):

—	a szabályzatok betartásának felügyelete,

—	harmadik fél IKT-szolgáltatók felügyelete,

—	a sérülékenységek korrekciójának felügyelete és ellenőrzése,

—	identitás- és hozzáférés-kezelés,

—	titkosítás és kriptográfia,

—

naplózás,

—	a pontos kockázattűrési szintek meghatározásának elmulasztása,

—	elégtelen sebezhetőség- és fenyegetésértékelések,

—	nem megfelelő kockázatkezelési intézkedések,

—	a fennmaradó IKT-kockázatok rossz kezelése,

—	sérülékenység-menedzsment és a javítócsomagok kezelése,

—	változáskezelés,

—	kapacitás- és teljesítménymenedzsment,

—	IKT-eszközök kezelése és az információk osztályozása,

—	biztonsági mentés és helyreállítás,

—	hibakezelés,

—	az IKT-rendszerek nem megfelelő beszerzése, fejlesztése és karbantartása,

—	elégtelen szoftvertesztelés vagy annak elmulasztása.

4.4.	Egyéb kiváltó ok típusok

Azoknak a pénzügyi szervezeteknek, amelyek a 4.2. adatmezőben a kiváltó ok típusára vonatkozóan „egyéb” választ adtak, meg kell adniuk az egyéb kiváltó ok(ok) típusát.

Nem

Igen, ha a 4.2. adatmezőben a kiváltó ok(ok) típusa kapcsán az „Egyéb” lehetőséget választották ki.

Alfanumerikus

4.5.	Az esemény kiváltó okaira vonatkozó információk

A jelentős IKT-vonatkozású eseményhez vezető eseménysorozat leírása, valamint annak ismertetése, hogy a jelentős IKT-vonatkozású eseménynek miért van egy vagy több másikhoz hasonló, nyilvánvaló kiváltó oka, ha az esemény ismétlődő eseménynek minősül, beleértve az összes olyan mögöttes ok és elsődleges tényező tömör leírását, amelyek hozzájárultak a jelentős IKT-vonatkozású esemény bekövetkeztéhez.

Ha rosszindulatú cselekmények történtek, a rosszindulatú cselekmény működési módjának leírása, beleértve az alkalmazott taktikákat, technikákat és eljárásokat, valamint a jelentős IKT-vonatkozású eseménynél a behatoláshoz használt vektort (átvivőt), beleértve azon nyomozás és elemzés leírását, amelynek eredményeként azonosították a kiváltó okokat (ha volt ilyen).

Nem

Igen

Alfanumerikus

4.6.	Események kezelése

További információk a jelentős IKT-vonatkozású esemény végleges megoldása és az esemény megismétlődésének megakadályozása érdekében tett/tervezett intézkedésekről.

A jelentős IKT-vonatkozású eseményből levont tanulságok:

A leírásnak ki kell térnie az alábbi pontokra:

Az esemény kezelése érdekében tett intézkedések leírása

a)	a jelentős IKT-vonatkozású esemény tartós megoldása érdekében tett intézkedések (kivéve bármely ideiglenes intézkedést);

b)	minden egyes intézkedés esetében tüntessék fel egy harmadik fél szolgáltató és a pénzügyi szervezet lehetséges érintettségét;

c)	adják meg, hogy az eljárásokat kiigazították-e a jelentős IKT-vonatkozású eseményt követően;

d)	tüntessenek fel bármilyen további ellenőrzést, amelyet bevezettek vagy amelyek bevezetését tervezik, megadva a vonatkozó megvalósítási ütemtervet is.

Adott esetben az érintettek informatikai rendszerek szilárdságával kapcsolatban vagy az alkalmazott eljárások vagy ellenőrzések tekintetében azonosított lehetséges problémák.

A pénzügyi szervezetek egyértelműen jelzik, hogy a tervezett korrekciós intézkedések hogyan kezelik az azonosított kiváltó okokat, és mikorra várható a jelentős IKT-vonatkozású esemény végleges megoldása.

2.	Levont tanulságok A pénzügyi szervezetek ismertetik kell az esemény követően végzett felülvizsgálat megállapításait.

Nem

Igen

Alfanumerikus

4.7.	Annak dátuma és időpontja, amikor az esemény kiváltó okát kezelték

Annak dátuma és időpontja, amikor az esemény kiváltó okát kezelték.

Nem

Igen

Az ISO 8601 szabvány szerinti összehangolt világidő (UTC) (ÉÉÉÉ-HH-NNTóó: pp:mm)

4.8.	Annak dátuma és időpontja, amikor az eseményt megoldották

Annak dátuma és időpontja, amikor az eseményt megoldották.

Nem

Igen

Az ISO 8601 szabvány szerinti összehangolt világidő (UTC) (ÉÉÉÉ-HH-NNTóó: pp:mm)

4.9.	Abban az esetben megadandó információ, ha az események végleges megoldásának időpontja eltér a megvalósítás eredetileg tervezett időpontjától

Adott esetben annak indoklása, hogy a jelentős IKT-vonatkozású események végleges megoldásának időpontja eltér a megvalósítás eredetileg tervezett időpontjától.

Nem

Igen

Alfanumerikus

4.10.

A kritikus funkciókat érintő kockázatok felmérése szanálási célból

Annak értékelése, hogy a jelentős IKT-vonatkozású esemény jelent-e kockázatot a 2014/59/EU európai parlamenti és tanácsi irányelv (2) 2. cikke (1) bekezdésének 35. pontja értelmében vett kritikus funkciókra nézve.

Az 2014/59/EU irányelv 1. cikkének (1) bekezdésében említett szervezetek jelzik, hogy az esemény jelent-e kockázatot a 2014/59/EU irányelv 2. cikke (1) bekezdésének 35. pontja értelmében vett, és az (EU) 2018/1624 bizottsági végrehajtási rendelethez (3) mellékelt Z07.01 sablonban jelentett, továbbá a konkrét szervezet tekintetében a Z07.02 sablonban feltérképezett kritikus funkciókra nézve.

Nem

Igen, ha az esemény kockázatot jelent a 2014/59/EU irányelv 2. cikke (1) bekezdésének 35. pontja értelmében vett kritikus funkciókra nézve.

Alfanumerikus

4.11.

A szanálási hatóságok számára releváns információk

Annak ismertetése, hogy a jelentős IKT-vonatkozású esemény befolyásolta-e a szervezet vagy a vállalatcsoport szanálhatóságát, és ha igen, hogyan.

A 2014/59/EU irányelv 1. cikkének (1) bekezdésében említett szervezetek tájékoztatást nyújtanak arról, hogy a jelentős IKT-vonatkozású esemény befolyásolta-e a szervezet vagy a vállalatcsoport szanálhatóságát, és ha igen, hogyan.

Az említett szervezeteknek azt is jelzik, hogy a jelentős IKT-vonatkozású esemény befolyásolja-e a pénzügyi szervezet fizetőképességét vagy likviditását, valamint esetlegesen a hatás számszerűsítését.

Ezek a szervezetek tájékoztatást adnak a működés folytonosságára és a szervezet szanálhatóságára gyakorolt hatásról, a jelentős IKT-vonatkozású esemény költségekre és veszteségekre – többek között a pénzügyi szervezet tőkehelyzetére – gyakorolt további hatásról, valamint arról, hogy az IKT-szolgáltatások használatáról szóló szerződéses megállapodások a szervezet szanálása esetén továbbra is megbízhatóak és teljes mértékben végrehajthatók-e.

Nem

Igen, ha az esemény érintette a szervezet vagy a vállalatcsoport szanálhatóságát.

Alfanumerikus

4.12.

Lényegességi küszöbérték a „Gazdasági hatás” osztályozási kritérium esetében

Arra vonatkozó részletes információ, hogy a jelentős IKT-vonatkozású esemény végül az (EU) 2024/1772 felhatalmazáson alapuló rendelet 7. és 14. cikkben említett „Gazdasági hatás” kritériummal kapcsolatban milyen küszöbértékeket ért el.

Nem

Igen

Alfanumerikus

4.13.

A bruttó közvetlen és közvetett költségek és veszteség összege

A pénzügyi szervezetnél a jelentős IKT-vonatkozású eseményből fakadó, bruttó közvetlen és közvetett költségek és veszteségek teljes összege, beleértve a következőket:

a)	a kisajátított pénzeszközök vagy pénzügyi eszközök összege, amelyekért a pénzügyi szervezet felelősséggel tartozik;

b)	a szoftver, hardver vagy infrastruktúra cseréjével, vagy áthelyezésével kapcsolatos költségek összege;

c)	a személyzeti költségek összege, beleértve a személyzet leváltásával vagy áthelyezésével, a további személyzet felvételével, a túlóra díjazásával és az elveszített vagy kárt szenvedett készségek helyreállításával kapcsolatos költségeket;

d)	a szerződéses kötelezettségek be nem tartásából eredő díjak összege;

e)	az ügyfeleknek járó jogorvoslati és kártérítési költségek összege;

f)	az elmaradt bevételek miatt veszteségek összege;

g)	a belső és külső kommunikációval kapcsolatos költségek összege;

h)	a tanácsadási költségek összege, beleértve a jogi tanácsadással, az igazságügyi szakértői szolgáltatásokkal és a korrekciós szolgáltatásokkal kapcsolatos költségeket;

az egyéb költségek és veszteségek összege, beleértve az alábbiakat:

i.	az eredménykimutatásban a jelentős IKT-vonatkozású esemény miatt elszámolt közvetlen ráfordítások, beleértve az értékvesztést és az elszámolás költségeit, valamint a jelentős IKT-vonatkozású esemény miatti leírásokat;

ii.	az eredménykimutatásban a jelentős IKT-vonatkozású esemény miatt – a jelentős IKT-vonatkozású esemény miatt elszámolt lehetséges veszteségekkel szemben – elszámolt (cél)tartalékok;

iii.	átmeneti vagy függő számlákon ideiglenesen könyvelt, a függő tétel méretének és korának megfelelő időszakon belül beszámítandó, az eredménykimutatásban még nem szereplő, a jelentős IKT-vonatkozású eseményből eredő függő veszteségek;

iv.

lényeges be nem szedett bevételek a harmadik felekkel fennálló szerződéses kötelezettségekhez kapcsolódóan, ideértve azt a döntést is, hogy az ügyfél kompenzálását a jelentős IKT-vonatkozású esemény bekövetkezése után ne visszatérítés vagy közvetlen kifizetés útján, hanem egy adott jövőbeni időszakra vonatkozó szerződéses díjak elengedése vagy csökkentése révén hajtsák végre;

v.	áthozott veszteségek, amennyiben azok egynél több pénzügyi számviteli évre vonatkoznak, és jogi kockázatot jelentenek.

Értékelésük során a pénzügyi szervezetek figyelembe veszik az (EU) 2024/1772 felhatalmazáson alapuló rendelet 7. cikkének (1) és (2) bekezdését. Ebben az összegben nem vehetők figyelembe megtérülések.

A pénzügyi szervezetek a pénzösszeget pozitív értékként jelentik.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén a pénzügyi szervezetek az összes pénzügyi szervezetnél előforduló költségek és veszteségek teljes összegét veszik figyelembe.

A pénzügyi szervezeteknek az adatpontot egységekben kell megadniuk, minimálisan ezer egységnek megfelelő pontossággal.

Nem

Igen

Pénzösszeg

4.14.

A megtérülések összege

A megtérülések teljes összege.

A megtérüléseknek az esemény által okozott eredeti veszteséghez kell kapcsolódniuk, függetlenül attól, hogy azokat befolyó pénzösszegek vagy gazdasági hasznok formájában mikor merülnek fel.

A pénzügyi szervezetek a pénzösszeget pozitív értékként jelentik.

Az e rendelet 7. cikkében említett összesített jelentéstétel esetén a pénzügyi szervezetek figyelembe veszik az összes pénzügyi szervezetnél előforduló megtérülések teljes összegét.

Nem

Igen

Pénzösszeg

A pénzügyi szervezeteknek az adatpontot egységekben kell megadniuk, minimálisan ezer egységnek megfelelő pontossággal.

4.15.

Arra vonatkozó információ, hogy a nem jelentős esemény ismétlődő jellegű-e

Arra vonatkozó információ, hogy egynél több nem jelentős IKT-vonatkozású esemény ismétlődött-e, és együttesen a 2024/1772 felhatalmazáson alapuló rendelet 8. cikkének (2) bekezdése értelmében vett jelentős eseménynek minősülnek-e.

A pénzügyi szervezetek jelzik, hogy a nem jelentős IKT-vonatkozású események ismétlődtek-e, és együttesen jelentős IKT-vonatkozású eseménynek tekintendők-e.

A pénzügyi szervezetek feltüntetik azt is, hogy hányszor fordultak elő a szóban forgó nem jelentős IKT-vonatkozású események.

Nem

Igen, ha a jelentős esemény egynél több ismétlődő, nem jelentős eseményt áll.

Alfanumerikus

4.16.

Az ismétlődő események előfordulásának dátuma és időpontja

Ha a pénzügyi szervezetek ismétlődő jelentős IKT-vonatkozású eseményekről szolgáltatnak adatot, az a dátum és időpont, amikor az első IKT-vonatkozású esemény bekövetkezett.

Nem

Igen, visszatérő események esetében.

Az ISO 8601 szabvány szerinti összehangolt világidő (UTC) (ÉÉÉÉ-HH-NNTóó: pp:mm)

(1) Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) (HL L 333., 2022.12.27., 80. o., ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

(2) Az Európai Parlament és a Tanács 2014/59/EU irányelve (2014. május 15.) a hitelintézetek és befektetési vállalkozások helyreállítását és szanálását célzó keretrendszer létrehozásáról és a 82/891/EGK tanácsi irányelv, a 2001/24/EK, 2002/47/EK, 2004/25/EK, 2005/56/EK, 2007/36/EK, 2011/35/EU, 2012/30/EU és 2013/36/EU irányelv, valamint az 1093/2010/EU és a 648/2012/EU európai parlamenti és tanácsi rendelet módosításáról (HL L 173., 2014.6.12., 190. o., ELI: http://data.europa.eu/eli/dir/2014/59/oj).

(3) A Bizottság (EU) 2018/1624 végrehajtási rendelete (2018. október 23.) a 2014/59/EU európai parlamenti és tanácsi irányelvnek megfelelően a hitelintézetek és befektetési vállalkozások szanálási terveihez történő adatszolgáltatáshoz kapcsolódó eljárásokra, valamint egységes formanyomtatványokra és táblákra vonatkozó végrehajtás-technikai standardok meghatározásáról és az (EU) 2016/1066 bizottsági végrehajtási rendelet hatályon kívül helyezéséről (HL L 277., 2018.11.7., 1. o., ELI: http://data.europa.eu/eli/reg_impl/2018/1624/oj).

III. MELLÉKLET

SABLON A JELENTŐS KIBERFENYEGETÉSEKRŐL SZÓLÓ ÉRTESÍTÉSHEZ

Mező száma	Adatmező
1	Az értesítést benyújtó szervezet megnevezése
2	Az értesítést benyújtó szervezet azonosító kódja
3	Az értesítést benyújtó pénzügyi szervezet típusa
4	A pénzügyi szervezet megnevezése
5	A pénzügyi szervezet LEI-kódja
6	Elsődleges kapcsolattartó személy neve
7	Elsődleges kapcsolattartó személy e-mail-címe
8	Elsődleges kapcsolattartó személy telefonszáma
9	Másodlagos kapcsolattartó személy neve
10	Másodlagos kapcsolattartó személy e-mail-címe
11	Másodlagos kapcsolattartó személy telefonszáma
12	A kiberfenyegetés észlelésének dátuma és időpontja
13	A jelentős kiberfenyegetés leírása
14	A lehetséges hatásra vonatkozó információ
15	A lehetséges esemény osztályozási kritériumai
16	A kiberfenyegetés státusza
17	A megvalósulásának megakadályozására tett intézkedések
18	Egyéb érdekelt feleknek küldött értesítés
19	Fertőzöttségi mutatók (IoC-k)
20	Egyéb releváns információk

IV. MELLÉKLET

ADATJEGYZÉK ÉS ÚTMUTATÁS A JELENTŐS KIBERFENYEGETÉSRŐL SZÓLÓ ÉRTESÍTÉSHEZ

Adatmező

Leírás

Kötelező mező

Mező típusa

1.	Az értesítést benyújtó szervezet megnevezése

Az értesítést benyújtó szervezet teljes hivatalos neve.

Igen

Alfanumerikus

2.	Az értesítést benyújtó szervezet azonosító kódja

Az értesítést benyújtó szervezet azonosító kódja.

Ha egy pénzügyi szervezet nevében harmadik fél szolgáltató nyújtja be a jelentést, utóbbi használhatja az (EU) 2022/2554 rendelet 28. cikkének (9) bekezdése alapján elfogadott végrehajtás-technikai standardokban meghatározott azonosító kódot.

Igen

Alfanumerikus

3.	A jelentést benyújtó pénzügyi szervezet típusa

A jelentést benyújtó szervezetnek az (EU) 2022/2554 rendelet 2. cikke (1) bekezdésének a)–t) pontja szerinti típusa.

Igen, ha a jelentést nem közvetlenül az érintett pénzügyi szervezet nyújtja be.

Választási lehetőség (többet is lehet választani):

—	hitelintézet,

—	pénzforgalmi intézmény,

—	mentesített pénzforgalmi intézmény,

—	számlainformációkat összesítő szolgáltató,

—	elektronikuspénz-kibocsátó intézmény,

—	mentesített elektronikuspénz-kibocsátó intézmény,

—	befektetési vállalkozás,

—	kriptoeszköz-szolgáltató,

—	eszközalapú tokenek kibocsátója,

—	központi értéktár,

—	központi szerződő fél,

—	kereskedési helyszín,

—	kereskedési értéktár,

—	alternatívbefektetésialap-kezelő,

—	alapkezelő társaság,

—	adatszolgáltató,

—	biztosítók és viszontbiztosítók,

—	biztosításközvetítő, viszontbiztosítás-közvetítő és kiegészítő biztosításközvetítői tevékenységet végző személy,

—	foglalkoztatói nyugellátást szolgáltató intézmény,

—	hitelminősítő intézet,

—	kritikus referenciamutatók kezelője,

—	közösségi finanszírozási szolgáltató,

—	értékpapírosítási adattár.

4.	A pénzügyi szervezet megnevezése

A jelentős kiberfenyegetésről szóló értesítést küldő pénzügyi szervezet teljes hivatalos neve.

Igen, ha a pénzügyi szervezet nem azonos az értesítést benyújtó szervezettel.

Alfanumerikus

5.	A pénzügyi szervezet LEI-kódja

A jelentős kiberfenyegetésről szóló értesítést küldő pénzügyi szervezethez a Nemzetközi Szabványügyi Szervezet előírásaival összhangban hozzárendelt jogalany-azonosító (LEI).

Igen, ha a jelentős kiberfenyegetésről szóló értesítést küldő pénzügyi szervezet nem azonos a jelentést benyújtó szervezettel.

Egyedi, az ISO 17442-1:2020 szabványon alapuló, 20 alfanumerikus karakterből álló kód

6.	Elsődleges kapcsolattartó személy neve

A pénzügyi szervezet elsődleges kapcsolattartó személyének vezeték- és utóneve.

Igen

Alfanumerikus

7.	Elsődleges kapcsolattartó személy e-mail-címe

Az elsődleges kapcsolattartó személy e-mail-címe, amelyet az illetékes hatóság a nyomon követő kommunikációhoz használhat.

Igen

Alfanumerikus

8.	Elsődleges kapcsolattartó személy telefonszáma

Az elsődleges kapcsolattartó személy telefonszáma, amelyet az illetékes hatóság a nyomon követő kommunikációhoz használhat.

A telefonszámot minden nemzetközi előhívóval együtt kell megadni (például: +33XXXXXXXXX).

Igen

Alfanumerikus

9.	Másodlagos kapcsolattartó személy neve

A pénzügyi szervezet vagy a pénzügyi szervezet nevében az értesítést benyújtó szervezet másodlagos kapcsolattartójának vezeték- és utóneve (amennyiben rendelkezésre áll).

Igen, ha rendelkezésre áll a pénzügyi szervezet vagy a pénzügyi szervezet nevében az értesítést benyújtó szervezet másodlagos kapcsolattartójának vezeték- és utóneve.

Alfanumerikus

10.	Másodlagos kapcsolattartó személy e-mail-címe

A másodlagos kapcsolattartó személy e-mail-címe vagy a csoport valamely funkcionális e-mail-címe, amelyet az illetékes hatóság a nyomon követő kommunikációhoz használhat (amennyiben rendelkezésre áll).

Igen, a másodlagos kapcsolattartó személy e-mail-címe vagy a csoport valamely funkcionális e-mail-címe, amelyet az illetékes hatóság a nyomon követő kommunikációhoz használhat (amennyiben rendelkezésre áll).

Alfanumerikus

11.	Másodlagos kapcsolattartó személy telefonszáma

A másodlagos kapcsolattartó személy telefonszáma, amelyet az illetékes hatóság a nyomon követő kommunikációhoz használhat (amennyiben rendelkezésre áll).

A telefonszámot minden nemzetközi előhívóval együtt kell megadni (például: +33XXXXXXXXX).

Igen, ha rendelkezésre áll a másodlagos kapcsolattartó személy telefonszáma, amelyet az illetékes hatóság a nyomon követő kommunikációhoz használhat.

Alfanumerikus

12.	A kiberfenyegetés észlelésének dátuma és időpontja

Az a dátum és időpont, amikor a pénzügyi szervezet tudomást szerzett a jelentős kiberfenyegetésről.

Igen

Az ISO 8601 szabvány szerinti összehangolt világidő (UTC) (ÉÉÉÉ-HH-NNTóó: pp:mm)

13.	A jelentős kiberfenyegetés leírása

A jelentős kiberfenyegetés legfontosabb szempontjainak ismertetése.

A pénzügyi szervezetek benyújtják:

a)	a jelentős kiberfenyegetés legfontosabb szempontjainak magas szintű áttekintését;

b)	az ebből fakadó, kapcsolódó kockázatokat, ideértve a pénzügyi szervezet rendszereinek potenciálisan kiaknázható sebezhetőségeit;

c)	a kiberfenyegetés megvalósulásának valószínűségére vonatkozó információt; valamint

d)	a kiberfenyegetésre vonatkozó információ forrásra vonatkozó tájékoztatást.

Igen

Alfanumerikus

14.	A lehetséges hatásra vonatkozó információ

Arra vonatkozó információ, hogy a kiberfenyegetés potenciálisan milyen hatást gyakorolhat a pénzügyi szervezetre, annak ügyfeleire vagy pénzügyi partnereire, ha a kiberfenyegetés megvalósul.

Igen

Alfanumerikus

15.	A lehetséges esemény osztályozási kritériumai

Azok az osztályozási kritériumok, amelyek a jelentős esemény bejelentését eredményezhették volna, ha a kiberfenyegetés megvalósult volna.

Igen

Választási lehetőség (többet is lehet választani):

—	az érintett ügyfelek, pénzügyi partnerek és tranzakciók,

—	a hírnevet érintő hatás,

—	időtartam és leállási idő,

—	földrajzi kiterjedés,

—	adatvesztés,

—	az érintett kritikus szolgáltatások,

—	gazdasági hatás.

16.	A kiberfenyegetés státusza

A pénzügyi szervezetet érő kiberfenyegetés állapotára, valamint arra vonatkozó információ, hogy történt-e változás a fenyegetéssel érintett tevékenységben.

Ha a kiberfenyegetés beszüntette a kommunikációt a pénzügyi szervezet információs rendszereivel, az állapot megjelölhető inaktívként. Ha a pénzügyi szervezet információval rendelkezik arról, hogy a fenyegetés továbbra is aktív más felekkel vagy a pénzügyi rendszer egészével szemben, az állapotot aktívként kell megjelölni.

Igen

Választási lehetőség:

—

aktív,

—

inaktív.

17.	A megvalósulásának megakadályozására tett intézkedések

Magas szintű információ a pénzügyi szervezet által a jelentős kiberfenyegetések megvalósulásának megakadályozása érdekében tett intézkedésekről (ha vannak ilyenek).

Igen

Alfanumerikus

18.	Egyéb érdekelt feleknek küldött értesítés

Arra vonatkozó információ, hogy értesítettek-e a kiberfenyegetés egyéb pénzügyi szervezeteket vagy hatóságokat.

Igen, ha értesítettek a kiberfenyegetés egyéb pénzügyi szervezeteket vagy hatóságokat).

Alfanumerikus

19.	Fertőzöttségi mutatók (IoC-k)

A jelentős fenyegetéssel kapcsolatos információk, amelyek adott esetben segíthetnek azonosítani a hálózaton vagy információs rendszeren belüli rosszindulatú tevékenységeket (fertőzöttségi mutatók, IoC-k).

A pénzügyi szervezet által átadott fertőzöttségi mutatók a következő adatkategóriákat tartalmazhatják (de nem kizárólagosan):

IP-címek;

b)	URL-címek;

domainek;

d)	fájlt hash-ek;

e)	a rosszindulatú programokra vonatkozó adatok (rosszindulatú program neve, fájlnevek és azok helye, a rosszindulatú programokkal kapcsolatos konkrét regisztrációsadatbázis-kulcsok);

f)	a hálózati tevékenységre vonatkozó adatok (portok, protokollok, címek, hivatkozók [referer], felhasználói ügynökök, fejlécek, konkrét naplók vagy a hálózati forgalomban megkülönböztető minták);

g)	az e-mail-üzenetek adatai (feladó, címzett, tárgy, fejléc, tartalom);

h)	DNS-lekérdezések és nyilvántartás-konfigurációk;

i)	a felhasználói fiókban végrehajtott tevékenységekre vonatkozó adatok (bejelentkezések, a különleges jogosultságokkal rendelkező felhasználói fiókok tevékenysége, jogosultságeszkaláció);

j)	adatbázis-forgalom (olvasás/írás), ugyanarra a fájlra irányuló lekérdezések.

Az ilyen típusú információkban szerepelhetnek az ismert támadásoknak / botnet-kommunikációnak megfelelő hálózatiforgalom-mintázatokat leíró indikátorok, a rosszindulatú programokkal (botokkal) fertőzött gépek IP-címe, a rosszindulatú programok által használt parancs- és vezérlő (C&C) szerverekkel kapcsolatos adatok (általában domainek vagy IP-címek), valamint adathalász webhelyekhez, illetve rosszindulatú programokat vagy exploit kit-eket tároló webhelyekhez köthető URL-ek.

Igen, ha rendelkezésre állnak a kiberfenyegetéssel kapcsolatos fertőzöttségi mutatókra (IoC-k) vonatkozó információk.

Alfanumerikus

20.	Egyéb releváns információk

A kiberfenyegetésre vonatkozó bármely egyéb releváns információ.

Igen, adott esetben és ha a sablonban nem szereplő egyéb információk rendelkezésre állnak.

Alfanumerikus

ELI: http://data.europa.eu/eli/reg_impl/2025/302/oj

ISSN 1977-0731 (electronic edition)

Top

Choose the experimental features you want to try