KOMISIJOS DELEGUOTASIS REGLAMENTAS (ES) 2025/301

2024 m. spalio 23 d.

kuriuo Europos Parlamento ir Tarybos reglamentas (ES) 2022/2554 papildomas techniniais reguliavimo standartais, kuriais nustatomas pradinio pranešimo, tarpinio pranešimo ir galutinio pranešimo apie didelius su IRT susijusius incidentus turinys ir pateikimo terminai, taip pat savanoriško pranešimo apie dideles kibernetines grėsmes turinys

(Tekstas svarbus EEE)

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos reglamentą (ES) 2022/2554 dėl skaitmeninės veiklos atsparumo finansų sektoriuje, kuriuo iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 ir (ES) 2016/1011 (1), ypač į jo 20 straipsnio trečią pastraipą,

kadangi:

(1)

siekiant užtikrinti, kad Reglamento (ES) 2022/2554 19 straipsnio 4 dalyje nurodyti pranešimo apie didelius su IRT susijusius incidentus reikalavimai būtų suderinti ir racionalizuoti, pranešimo apie didelius su IRT susijusius incidentus terminai turėtų būti nuosekliai taikomi visų rūšių finansų sektoriaus subjektams. Dėl šių priežasčių terminai taip pat turėtų kuo labiau atitikti Europos Parlamento ir Tarybos direktyvoje (ES) 2022/2555 (2) nustatytus reikalavimus ir būti bent jiems lygiaverčiai;

(2)

siekiant išvengti nereikalingos pranešimo naštos finansų sektoriaus subjektams tuo metu, kai jie šalina su IRT susijusį incidentą, pradinio pranešimo turinys turėtų apsiriboti svarbiausia informacija. Kad galėtų imtis tinkamų priežiūros veiksmų, kompetentingos institucijos turi gauti informaciją apie didelius su IRT susijusius incidentus kuo greičiau po to, kai finansų sektoriaus subjektas su IRT susijusį incidentą priskiria dideliems incidentams. Todėl pradinio pranešimo, nurodyto Reglamento (ES) 2022/2554 19 straipsnio 4 dalies a punkte, pateikimo terminas turėtų būti kuo trumpesnis po to, kai su IRT susijęs incidentas priskiriamas dideliems incidentams, kartu vis tiek suteikiant lankstumo, ypač kai taikomi paslaugų verslo modeliai, kuriems laikas nėra ypač svarbus, jei finansų sektoriaus subjektams, sužinojusiems apie su IRT susijusį incidentą, reikia daugiau laiko jam pašalinti;

(3)

gavusios pradinį pranešimą, kompetentingos institucijos išsamesnės informacijos apie su IRT susijusį incidentą turėtų gauti tarpiniame pranešime, o visą susijusią informaciją – galutiniame pranešime. Turėdamos tuose pranešimuose pateiktą informaciją kompetentingos institucijos turėtų galėti geriau įvertinti su IRT susijusį incidentą ir priežiūros veiksmus, kurių jos gali norėti imtis;

(4)

todėl nustatant Reglamento (ES) 2022/2554 20 straipsnio pirmos pastraipos a punkto ii papunktyje nurodytus pranešimų pateikimo terminus turėtų būti derinamas kompetentingų institucijų poreikis greitai gauti informaciją ir finansų sektoriaus subjektų poreikis turėti pakankamai laiko gauti išsamią ir tikslią informaciją;

(5)

atsižvelgiant į Reglamento (ES) 2022/2554 20 straipsnio pirmos pastraipos a punkte nustatytus kriterijus, nustatytais pranešimų pateikimo terminais labai mažoms įmonėms ir kitiems finansų sektoriaus subjektams, kurie nėra dideli, neturėtų būti užkraunama neproporcinga našta. Be to, kad būtų išvengta neproporcingos naštos finansų sektoriaus subjektams, nustatant pranešimų pateikimo terminus turėtų būti atsižvelgiama į savaitgalius ir švenčių dienas;

(6)	kadangi apie dideles kibernetines grėsmes turi būti pranešama savanoriškai, tokių pranešimų turinys neturėtų tapti finansų sektoriaus subjektams našta ir turėtų būti labiau apribotas, palyginti su informacija, kurią prašoma pateikti pranešant apie didelius su IRT susijusius incidentus;

(7)	šis reglamentas grindžiamas techninių reguliavimo standartų projektais, kuriuos Komisijai pateikė Europos priežiūros institucijos;

(8)

Europos priežiūros institucijos dėl techninių reguliavimo standartų projektų, kuriais pagrįstas šis reglamentas, surengė atviras viešas konsultacijas, išnagrinėjo galimas susijusias sąnaudas ir naudą ir paprašė suinteresuotųjų subjektų grupių, įsteigtų pagal Europos Parlamento ir Tarybos reglamentų (ES) Nr. 1093/2010 (3), (ES) Nr. 1094/2010 (4) ir (ES) Nr. 1095/2010 (5) 37 straipsnį, patarimo;

(9)

vadovaujantis Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (6) 42 straipsnio 1 dalimi, buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir jis pateikė teigiamą nuomonę 2024 m. liepos 22 d. Bet koks asmens duomenų tvarkymas pagal šį reglamentą turėtų būti atliekamas laikantis Reglamente (ES) 2018/1725 nustatytų taikytinų duomenų apsaugos principų ir nuostatų,

PRIĖMĖ ŠĮ REGLAMENTĄ:

1 straipsnis

Bendra informacija, kuri turi būti pateikta pradiniuose pranešimuose, tarpiniuose pranešimuose ir galutiniuose pranešimuose apie didelius su IRT susijusius incidentus

Finansų sektoriaus subjektai į pradinius pranešimus, tarpinius pranešimus ir galutinius pranešimus, nurodytus Reglamento (ES) 2022/2554 19 straipsnio 4 dalyje, įtraukia tokią bendrą informaciją:

a)	pranešimo rūšį (pradinis pranešimas, tarpinis pranešimas arba galutinis pranešimas);

b)	finansų sektoriaus subjekto pavadinimą, jo LEI kodą ir finansų sektoriaus subjekto rūšį, nurodytą Reglamento (ES) 2022/2554 2 straipsnio 1 dalyje;

c)	subjekto, teikiančio pradinį pranešimą arba tarpinį arba galutinį pranešimą, pavadinimą ir identifikavimo kodą;

d)	kai taikytina, visų finansų sektoriaus subjektų, įtrauktų į bendrą pradinį pranešimą arba tarpinį arba galutinį pranešimą, pavadinimus ir LEI kodus;

e)	asmenų, atsakingų už ryšių su kompetentinga institucija didelio su IRT susijusio incidento klausimais palaikymą, kontaktinius duomenis;

f)	kai taikytina, grupės, kuriai priklauso finansų sektoriaus subjektas, patronuojančiosios įmonės identifikavimo duomenis;

g)	kai yra piniginis poveikis, valiutą, kuria išreikštos sumos.

2 straipsnis

Konkreti informacija, kuri turi būti pateikta pradiniuose pranešimuose

Reglamento (ES) 2022/2554 19 straipsnio 4 dalies a punkte nurodytuose pradiniuose pranešimuose pateikiama bent visa ši konkreti informacija:

a)	finansų sektoriaus subjekto incidentui suteiktas kodas;

b)	incidento aptikimo data, jo aptikimo laikas ir klasifikacija pagal Komisijos deleguotojo reglamento (ES) 2024/1772 (7) 8 straipsnį;

c)	su IRT susijusio incidento aprašymas;

d)	Deleguotojo reglamento (ES) 2024/1772 1–8 straipsniuose nustatyti kriterijai, kuriais remdamasis finansų sektoriaus subjektas su IRT susijusį incidentą klasifikavo kaip didelį;

e)	valstybės narės, kurioms su IRT susijęs incidentas daro poveikį;

f)	informacija apie tai, kaip buvo nustatytas su IRT susijęs incidentas;

g)	jei turima, informacija apie su IRT susijusio incidento kilmę;

h)	informacija apie tai, ar finansų sektoriaus subjektas pradėjo įgyvendinti veiklos tęstinumo planą;

i)	kai taikytina, informacija apie su IRT susijusio incidento perklasifikavimą iš didelio į nedidelį;

j)	jei turima, bet kokia kita svarbi informacija.

3 straipsnis

Konkreti informacija, kuri turi būti pateikta tarpiniuose pranešimuose

Reglamento (ES) 2022/2554 19 straipsnio 4 dalies b punkte nurodytuose tarpiniuose pranešimuose pateikiama bent visa ši konkreti informacija:

a)	jei taikytina, kompetentingos institucijos incidentui suteiktas kodas;

b)	data ir laikas, kai įvyko su IRT susijęs incidentas;

c)	kai taikytina, data ir laikas, kai finansų sektoriaus subjektas atkūrė savo įprastą veiklą;

d)	informacija apie atitiktį kriterijams, nustatytiems Deleguotojo reglamento (ES) 2024/1772 1–8 straipsniuose, kuriais remdamasis finansų sektoriaus subjektas su IRT susijusį incidentą klasifikavo kaip didelį;

e)	su IRT susijusio incidento rūšis;

f)	kai taikytina, priešiško subjekto keliamos grėsmės ir naudojami metodai;

g)	paveiktos funkcinės sritys ir veiklos procesai;

h)	paveikti infrastruktūros komponentai, kuriais palaikomi veiklos procesai;

i)	poveikis klientų finansiniams interesams;

j)	informacija apie pranešimą apie su IRT susijusį incidentą kitoms institucijoms;

k)	laikini veiksmai arba priemonės, kurių finansų sektoriaus subjektas ėmėsi arba planuoja imtis, siekdamas atkurti veiklą po su IRT susijusio incidento;

l)	kai taikytina, informacija apie užvaldymo rodiklius.

4 straipsnis

Konkreti informacija, kuri turi būti pateikta galutiniuose pranešimuose

Reglamento (ES) 2022/2554 19 straipsnio 4 dalies c punkte nurodytuose galutiniuose pranešimuose pateikiama bent visa ši konkreti informacija:

a)	informacija apie pagrindines su IRT susijusio incidento priežastis;

b)	su IRT susijusio incidento išsprendimo ir pagrindinės priežasties (-ių) pašalinimo datos ir laikas;

c)	informacija apie su IRT susijusio incidento išsprendimą;

d)	kai taikytina, pertvarkymo institucijoms svarbi informacija;

e)	informacija apie tiesiogines ir netiesiogines išlaidas ir nuostolius, patirtus dėl su IRT susijusio incidento, ir informacija apie lėšų susigrąžinimą;

f)	kai taikytina, informacija apie pasikartojančius su IRT susijusius incidentus.

5 straipsnis

Pradinio pranešimo, tarpinio pranešimo ir galutinio pranešimo pateikimo terminai

1. Finansų sektoriaus subjektai pradinį pranešimą, tarpinį pranešimą ir galutinį pranešimą, nurodytus Reglamento (ES) 2022/2554 19 straipsnio 4 dalies a, b ir c punktuose, pateikia laikydamiesi šių terminų:

a)	pradinį pranešimą: kuo anksčiau, bet ne vėliau kaip per keturias valandas nuo su IRT susijusio incidento klasifikavimo kaip didelio su IRT susijusio incidento ir ne vėliau kaip per 24 valandas nuo to momento, kai finansų sektoriaus subjektas sužino apie su IRT susijusį incidentą;

tarpinį pranešimą: ne vėliau kaip per 72 valandas nuo pradinio pranešimo pateikimo, net jei incidento padėtis ar jo šalinimo būdas, kaip nurodyta Reglamento (ES) 2022/2554 19 straipsnio 4 dalies b punkte, nepasikeitė. Finansų sektoriaus subjektai nepagrįstai nedelsdami ir bet kuriuo atveju po to, kai atkuriama įprasta veikla, pateikia atnaujintą tarpinį pranešimą;

c)	galutinį pranešimą: ne vėliau kaip per vieną mėnesį nuo tarpinio pranešimo pateikimo arba, kai taikytina, nuo paskutinio atnaujinto tarpinio pranešimo pateikimo.

2. Jeigu finansų sektoriaus subjektas su IRT susijusio incidento neklasifikavo kaip didelio incidento per 24 valandas nuo to momento, kai finansų sektoriaus subjektas sužinojo apie su IRT susijusį incidentą, tačiau vėliau klasifikuoja tą su IRT susijusį incidentą kaip didelį incidentą, finansų sektoriaus subjektas pradinį pranešimą pateikia per keturias valandas nuo su IRT susijusio incidento klasifikavimo kaip didelio incidento.

3. Finansų sektoriaus subjektai, kurie pradinio pranešimo, tarpinio pranešimo ar galutinio pranešimo negali pateikti laikydamiesi 1 dalyje nustatytų terminų, nepagrįstai nedelsdami, bet iki sueinant atitinkamiems pranešimų pateikimo terminams apie tai praneša kompetentingai institucijai ir paaiškina vėlavimo priežastis.

4. Jeigu pradinio pranešimo, tarpinio pranešimo arba galutinio pranešimo pateikimo terminas pranešimą teikiančio finansų sektoriaus subjekto valstybėje narėje yra savaitgalio diena arba šventinė diena, finansų sektoriaus subjektas pradinį pranešimą, tarpinį pranešimą arba galutinį pranešimą gali pateikti iki kitos darbo dienos vidurdienio.

5. 4 dalis netaikoma kredito įstaigoms, pagrindinėms sandorio šalims, prekybos vietų operatoriams ir kitiems finansų sektoriaus subjektams, kurie pagal Direktyvos (ES) 2022/2555 3 straipsnį laikomi esminiais arba svarbiais subjektais, kai jie turi pateikti pradinį pranešimą arba tarpinį pranešimą.

6. Kompetentingos institucijos gali nuspręsti, kad 4 dalis netaikoma finansų sektoriaus subjektams, kurie nėra 5 dalyje nurodyti subjektai ir kurie finansų sektoriui nacionaliniu ar Sąjungos lygmeniu yra svarbūs arba kurių pobūdis yra sisteminis, kai jie turi pateikti pradinį pranešimą arba tarpinį pranešimą. Kompetentingos institucijos apie savo sprendimą praneša nustatytiems finansų sektoriaus subjektams. Kompetentingos institucijos sprendimas taikomas tik incidentams, apie kuriuos pranešama po kompetentingos institucijos pranešimo apie sprendimą nustatytiems finansų sektoriaus subjektams dienos.

6 straipsnis

Savanoriško pranešimo apie dideles kibernetines grėsmes turinys

Reglamento (ES) 2022/2554 19 straipsnio 2 dalyje nurodyto savanoriško pranešimo, susijusio su didelėmis kibernetinėmis grėsmėmis, turinys apima visą šią informaciją:

a)	1 straipsnyje nustatytą bendrą informaciją apie pranešimą teikiantį finansų sektoriaus subjektą;

b)	didelės kibernetinės grėsmės aptikimo datą ir laiką ir visas kitas svarbias laiko žymas, susijusias su didele kibernetine grėsme;

c)	didelės kibernetinės grėsmės aprašymą;

d)	informaciją apie galimą didelės kibernetinės grėsmės poveikį finansų sektoriaus subjektui, jo klientams ar finansų partneriams;

e)	Deleguotojo reglamento (ES) 2024/1772 1–8 straipsniuose nustatytus klasifikavimo kriterijus, kuriais remiantis būtų buvęs pateiktas pranešimas apie didelį incidentą, jei kibernetinė grėsmė būtų pasitvirtinusi;

f)	informaciją apie didelės kibernetinės grėsmės padėtį ir visus su grėsme susijusios veiklos pokyčius;

g)	kai taikytina, veiksmų, kurių ėmėsi finansų sektoriaus subjektas, kad užkirstų kelią didelių kibernetinių grėsmių pasitvirtinimui, aprašymą;

h)	informaciją apie bet kokį pranešimą apie didelę kibernetinę grėsmę, pateiktą kitiems finansų sektoriaus subjektams ar institucijoms;

i)	kai taikytina, informaciją apie užvaldymo rodiklius;

j)	jei turima, bet kokią kitą svarbią informaciją.

7 straipsnis

Įsigaliojimas

Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Briuselyje 2024 m. spalio 23 d.

Komisijos vardu

Pirmininkė

Ursula VON DER LEYEN

(1) OL L 333, 2022 12 27, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

(2) 2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos direktyva (ES) 2022/2555 dėl priemonių aukštam bendram kibernetinio saugumo lygiui visoje Sąjungoje užtikrinti, kuria iš dalies keičiamas Reglamentas (ES) Nr. 910/2014 ir Direktyva (ES) 2018/1972 ir panaikinama Direktyva (ES) 2016/1148 (TIS 2 direktyva) (OL L 333, 2022 12 27, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

(3) 2010 m. lapkričio 24 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1093/2010, kuriuo įsteigiama Europos priežiūros institucija (Europos bankininkystės institucija), iš dalies keičiamas Sprendimas Nr. 716/2009/EB ir panaikinamas Komisijos sprendimas 2009/78/EB (OL L 331, 2010 12 15, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).

(4) 2010 m. lapkričio 24 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1094/2010, kuriuo įsteigiama Europos priežiūros institucija (Europos draudimo ir profesinių pensijų institucija), iš dalies keičiamas Sprendimas Nr. 716/2009/EB ir panaikinamas Komisijos sprendimas 2009/79/EB (OL L 331, 2010 12 15, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).

(5) 2010 m. lapkričio 24 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1095/2010, kuriuo įsteigiama Europos priežiūros institucija (Europos vertybinių popierių ir rinkų institucija) ir iš dalies keičiamas Sprendimas Nr. 716/2009/EB bei panaikinamas Komisijos sprendimas 2009/77/EB (OL L 331, 2010 12 15, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(6) 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) 2024 m. kovo 13 d. Komisijos deleguotasis reglamentas (ES) 2024/1772, kuriuo Europos Parlamento ir Tarybos reglamentas (ES) 2022/2554 papildomas techniniais reguliavimo standartais, kuriais patikslinami su IRT susijusių incidentų ir kibernetinių grėsmių klasifikavimo kriterijai, nustatomos reikšmingumo ribos ir nurodomi pranešimų apie didelius incidentus duomenys (OL L, 2024/1772, 2024 6 25, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj).