Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32024R1772

    Regolament Delegat tal-Kummissjoni (UE) 2024/1772 tat-13 ta’ Marzu 2024 li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta’ standards tekniċi regolatorji li jispeċifikaw il-kriterji għall-klassifikazzjoni ta’ inċidenti relatati mal-ICT u theddid ċibernetiku, li jistabbilixxi livelli limitu ta’ materjalità u li jispeċifika d-dettalji tar-rapporti ta’ inċidenti kbar

    C/2024/1519

    ĠU L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj

    European flag

    Il-Ġurnal Uffiċjali
    ta'l-Unjoni Ewropea

    MT

    Is-serje L

    2024/1772

    25.6.2024

    REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2024/1772

    tat-13 ta’ Marzu 2024

    li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta’ standards tekniċi regolatorji li jispeċifikaw il-kriterji għall-klassifikazzjoni ta’ inċidenti relatati mal-ICT u theddid ċibernetiku, li jistabbilixxi livelli limitu ta’ materjalità u li jispeċifika d-dettalji tar-rapporti ta’ inċidenti kbar

    (Test b’relevanza għaż-ŻEE)

    IL-KUMMISSJONI EWROPEA,

    Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

    Wara li kkunsidrat ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (1), u b’mod partikolari l-Artikolu 18(4), it-tielet subparagrafu tiegħu,

    Billi:

    (1)

    Ir-Regolament (UE) 2022/2554 għandu l-għan li jarmonizza u jissimplifika r-rekwiżiti ta’ rappurtar għal inċidenti relatati mal-ICT u għal inċidenti operazzjonali jew tas-sigurtà relatati ma’ pagamenti li jikkonċernaw istituzzjonijiet ta’ kreditu, istituzzjonijiet ta’ pagament, fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet, u istituzzjonijiet tal-flus elettroniċi (“inċidenti”). Meta jitqies li r-rekwiżiti ta’ rappurtar ikopru 20 tip differenti ta’ entitajiet finanzjarji, jenħtieġ li l-kriterji ta’ klassifikazzjoni u l-livelli limitu ta’ materjalità għad-determinazzjoni ta’ inċidenti kbar u theddid ċibernetiku sinifikanti jiġu speċifikati b’mod sempliċi, armonizzat u konsistenti li jqis l-ispeċifiċitajiet tas-servizzi u l-attivitajiet tal-entitajiet finanzjarji rilevanti kollha.

    (2)

    Sabiex tiġi żgurata l-proporzjonalità, il-kriterji ta’ klassifikazzjoni u l-livelli limitu ta’ materjalità jenħtieġ li jirriflettu d-daqs u l-profil tar-riskju ġenerali, u n-natura, l-iskala u l-kumplessità tas-servizzi tal-entitajiet finanzjarji kollha. Barra minn hekk, jenħtieġ li l-kriterji u l-livelli limitu ta’ materjalità jitfasslu b’tali mod li japplikaw b’mod konsistenti għall-entitajiet finanzjarji kollha, irrispettivament mid-daqs u l-profil tar-riskju tagħhom, u li ma joħolqux piż ta’ rappurtar sproporzjonat għal entitajiet finanzjarji iżgħar. Madankollu, sabiex jiġu indirizzati sitwazzjonijiet fejn għadd sinifikanti ta’ klijenti jkunu affettwati minn inċident li bħala tali ma jaqbiżx il-livell limitu applikabbli, jenħtieġ li jiġi stabbilit livell limitu assolut li jkun prinċipalment immirat lejn entitajiet finanzjarji akbar.

    (3)

    Fir-rigward tal-oqfsa ta’ rappurtar tal-inċidenti, li kienu jeżistu qabel id-dħul fis-seħħ tar-Regolament (UE) 2022/2554, jenħtieġ li tiġi żgurata l-kontinwità għall-entitajiet finanzjarji. Għalhekk, il-kriterji ta’ klassifikazzjoni u l-livelli limitu ta’ materjalità jenħtieġ li jiġu allinjati mal-Linji Gwida tal-EBA dwar ir-rappurtar ta’ inċidenti kbar skont id-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill (2), il-Linji Gwida dwar l-informazzjoni perjodika u n-notifika ta’ bidliet materjali li għandhom jiġu ppreżentati lill-ESMA mir-Repożitorji tat-Tranżazzjonijiet, il-Qafas ta’ Rappurtar ta’ Inċidenti Ċibernetiċi tal-BĊE/MSU u gwida rilevanti oħra u jkunu ispirati minnhom. Il-kriterji u l-limiti ta’ klassifikazzjoni jenħtieġ li jkunu xierqa wkoll għall-entitajiet finanzjarji li ma kinux soġġetti għal rekwiżiti ta’ rappurtar tal-inċidenti qabel ir-Regolament (UE) 2022/2554.

    (4)

    Fir-rigward tal-kriterju ta’ klassifikazzjoni “l-ammont jew l-għadd ta’ tranżazzjonijiet affettwati”, il-kunċett ta’ tranżazzjonijiet huwa wiesa’ u jkopri attivitajiet u servizzi differenti fl-atti settorjali applikabbli għall-entitajiet finanzjarji. Għall-finijiet ta’ dak il-kriterju ta’ klassifikazzjoni, jenħtieġ li t-tranżazzjonijiet ta’ pagament u l-forom kollha ta’ skambju ta’ strumenti finanzjarji, kriptoassi, komoditajiet, jew kwalunkwe assi ieħor, anki fil-forma ta’ marġni, kollateral jew wegħda, ikunu koperti kemm fil-konfront ta’ flus kontanti kif ukoll fil-konfront ta’ kwalunkwe assi ieħor. Jenħtieġ li t-tranżazzjonijiet kollha li jinvolvu assi li l-valur tagħhom jista’ jiġi espress f’ammont monetarju, jitqiesu għall-finijiet ta’ klassifikazzjoni.

    (5)

    Jenħtieġ li l-kriterji ta’ klassifikazzjoni jiżguraw li jinqabdu t-tipi rilevanti kollha ta’ inċidenti kbar. L-attakki ċibernetiċi relatati mal-intrużjoni fin-network jew fis-sistemi tal-informazzjoni mhux neċessarjament jinqabdu minn ħafna kriterji ta’ klassifikazzjoni. Madankollu, dawn huma importanti peress li kwalunkwe intrużjoni fin-network u fis-sistemi ta’ informazzjoni tista’ tikkawża ħsara lill-entità finanzjarja. Għaldaqstant, jenħtieġ li l-kriterji ta’ klassifikazzjoni “servizzi kritiċi affettwati” u “telf tad-data” jiġu speċifikati b’tali mod li jinqabdu dawn it-tipi ta’ inċidenti kbar, b’mod partikolari intrużjonijiet mhux awtorizzati li, anki jekk l-impatti ma jkunux magħrufa minnufih, jistgħu jwasslu għal konsegwenzi serji, b’mod partikolari ksur tad-data u rivelazzjonijiet tad-data.

    (6)

    Peress li l-istituzzjonijiet ta’ kreditu huma soġġetti kemm għall-qafas għall-klassifikazzjoni tal-inċidenti skont l-Artikolu 18 tar-Regolament (UE) 2022/2554 kif ukoll għall-qafas tar-riskju operazzjonali skont ir-Regolament Delegat tal-Kummissjoni (UE) 2018/959 (3), jenħtieġ li l-approċċ għall-valutazzjoni tal-impatt ekonomiku ta’ inċident ibbażat fuq il-kalkolu tal-kostijiet u t-telf, ikun kemm jista’ jkun konsistenti fiż-żewġ oqfsa biex tiġi evitata l-introduzzjoni ta’ rekwiżiti inkompatibbli jew kontradittorji.

    (7)

    Jenħtieġ li l-kriterju fir-rigward tal-firxa ġeografika ta’ inċident stabbilit fl-Artikolu 18(1), il-punt (c), tar-Regolament (UE) 2022/2554 jiffoka fuq l-impatt transfruntier tal-inċident, peress li l-impatt ta’ inċident fuq l-attivitajiet ta’ entità finanzjarja f’ġuriżdizzjoni unika se jinqabad mill-kriterji l-oħra stabbiliti f’dak l-Artikolu.

    (8)

    Minħabba li l-kriterji ta’ klassifikazzjoni huma interdipendenti u marbuta ma’ xulxin, jenħtieġ li l-approċċ għall-identifikazzjoni ta’ inċidenti kbar li għandhom jiġu rrapportati f’konformità mal-Artikolu 19(1) tar-Regolament (UE) 2022/2554 jkun ibbażat fuq taħlita ta’ kriterji, fejn jenħtieġ li xi kriterji li huma relatati mill-qrib mad-definizzjonijiet ta’ inċident relatat mal-ICT u inċident kbir relatat mal-ICT stabbiliti fl-Artikolu 3(8) u (10) tar-Regolament (UE) 2022/2554 jkollhom aktar prominenza fil-klassifikazzjoni ta’ inċidenti kbar minn kriterji oħra.

    (9)

    Bil-ħsieb li jiġi żgurat li r-rapporti u n-notifiki ta’ inċidenti kbar riċevuti mill-awtoritajiet kompetenti skont l-Artikolu 19(1) tar-Regolament (UE) 2022/2554 iservu kemm għal finijiet superviżorji kif ukoll għall-prevenzjoni ta’ kontaġju fis-settur finanzjarju kollu, jenħtieġ li l-livelli limitu ta’ materjalità jagħmlu l-qbid ta’ inċidenti kbar possibbli, billi jiffokaw, fost l-oħrajn, fuq l-impatt fuq is-servizzi kritiċi speċifiċi għall-entità, il-livelli limitu assoluti u relattivi speċifiċi tal-klijenti jew tal-kontropartijiet finanzjarji, it-tranżazzjonijiet li jindikaw impatt materjali fuq l-entità finanzjarja, u s-sinifikat tal-impatt fi Stati Membri oħra.

    (10)

    Jenħtieġ li l-inċidenti li jaffettwaw is-servizzi tal-ICT jew in-network u s-sistemi tal-informazzjoni li jappoġġaw funzjonijiet kritiċi jew importanti, jew servizzi finanzjarji li jeħtieġu awtorizzazzjoni jew aċċess malizzjuż mhux awtorizzat għan-network u għas-sistemi tal-informazzjoni li jappoġġaw funzjonijiet kritiċi jew importanti, jitqiesu bħala inċidenti li jaffettwaw is-servizzi kritiċi tal-entitajiet finanzjarji. Aċċess malizzjuż u mhux awtorizzat għan-network u għas-sistemi ta’ informazzjoni li jappoġġaw funzjonijiet kritiċi jew importanti tal-entitajiet finanzjarji, joħloq riskji serji għall-entità finanzjarja u, peress li jista’ jaffettwa entitajiet finanzjarji oħra, jenħtieġ li dejjem jitqies bħala inċident kbir li għandu jiġi rrappurtat.

    (11)

    Inċidenti rikorrenti li jkunu marbuta permezz ta’ kawża ewlenija apparenti simili, li individwalment ma jkunux inċidenti kbar, jistgħu jindikaw nuqqasijiet u dgħufijiet sinifikanti fil-proċeduri ta’ ġestjoni tal-inċidenti u tar-riskji tal-entità finanzjarja. Għalhekk, jenħtieġ li l-inċidenti rikorrenti jitqiesu bħala kollettivament kbar meta jseħħu ripetutament matul ċertu perjodu ta’ żmien.

    (12)

    Meta jitqies li t-theddid ċibernetiku jista’ jkollu impatt negattiv fuq l-entità u s-settur finanzjarju, it-theddid ċibernetiku sinifikanti li l-entitajiet finanzjarji jistgħu jippreżentaw jenħtieġ li jindika l-probabbiltà ta’ materjalizzazzjoni u l-kritikalità tal-impatt potenzjali. Għaldaqstant, biex tiġi żgurata valutazzjoni ċara u konsistenti tas-sinifikat tat-theddid ċibernetiku, jenħtieġ li l-klassifikazzjoni ta’ theddida ċibernetika bħala sinifikanti tkun dipendenti fuq il-probabbiltà li l-kriterji ta’ klassifikazzjoni għal inċidenti kbar u l-livell limitu tagħhom jiġu ssodisfati jekk it-theddida tkun immaterjalizzat, fuq it-tip ta’ theddida ċibernetika u fuq l-informazzjoni disponibbli għall-entità finanzjarja.

    (13)

    Meta jitqies li l-awtoritajiet kompetenti fi Stati Membri oħra għandhom jiġu nnotifikati b’inċidenti li jkollhom impatt fuq l-entitajiet finanzjarji u l-klijenti fil-ġuriżdizzjoni tagħhom, jenħtieġ li l-valutazzjoni tal-impatt f’ġuriżdizzjoni oħra f’konformità mal-Artikolu 19(7) tar-Regolament (UE) 2022/2554 tkun ibbażata fuq il-kawża ewlenija tal-inċident, fuq il-kontaġju potenzjali permezz ta’ fornituri terzi u fuq l-infrastrutturi tas-suq finanzjarju, kif ukoll fuq l-impatt tal-inċident fuq gruppi sinifikanti ta’ klijenti jew kontropartijiet finanzjarji.

    (14)

    Il-proċessi ta’ rappurtar u ta’ notifika msemmija fl-Artikolu 19(6) u (7) tar-Regolament (UE) 2022/2554 jenħtieġ li jippermettu lir-riċevituri rispettivi jivvalutaw l-impatt tal-inċidenti. Għalhekk, jenħtieġ li l-informazzjoni trażmessa tkopri d-dettalji kollha li jinsabu fir-rapporti tal-inċidenti ppreżentati mill-entità finanzjarja lill-awtorità kompetenti.

    (15)

    Meta inċident jikkostitwixxi ksur ta’ data personali skont ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (4) u d-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill (5), jenħtieġ li dan ir-Regolament ma jaffettwax l-obbligi ta’ reġistrazzjoni u ta’ notifika għall-ksur ta’ data personali stabbiliti f’dawk il-liġijiet tal-Unjoni. Jenħtieġ li l-awtoritajiet kompetenti jikkooperaw u jiskambjaw informazzjoni dwar il-kwistjonijiet rilevanti kollha mal-awtoritajiet imsemmija fir-Regolament (UE) 2016/679 u d-Direttiva 2002/58/KE.

    (16)

    Dan ir-Regolament huwa bbażat fuq l-abbozz tal-istandards tekniċi regolatorji ppreżentat lill-Kummissjoni mill-Awtoritajiet Superviżorji Ewropej, f’konsultazzjoni mal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (European Union Agency for Cybersecurity, ENISA) u l-Bank Ċentrali Ewropew (BĊE).

    (17)

    Il-Kumitat Konġunt tal-Awtoritajiet Superviżorji Ewropej imsemmi fl-Artikolu 54 tar-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (6), fl-Artikolu 54 tar-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill (7) u fl-Artikolu 54 tar-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill (8) wettaq konsultazzjonijiet pubbliċi miftuħa dwar l-abbozz ta’ standards tekniċi regolatorji li fuqhom huwa bbażat dan ir-Regolament, analizza l-kostijiet u l-benefiċċji potenzjali tal-istandards proposti u talab il-parir tal-Grupp tal-Partijiet Bankarji Interessati stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1093/2010, tal-Grupp tal-Partijiet Interessati tal-Oqsma tal-Assigurazzjoni u tar-Riassigurazzjoni u tal-Grupp tal-Partijiet Interessati tal-Qasam tal-Pensjonijiet tax-Xogħol stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1094/2010, u tal-Grupp tal-Partijiet Interessati tat-Titoli u s-Swieq stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1095/2010,

    (18)

    Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (9) u ta l-opinjoni tiegħu fl-24 ta’ Jannar 2024.

    ADOTTAT DAN IR-REGOLAMENT:

    KAPITOLU I

    KRITERJI TA’ KLASSIFIKAZZJONI

    Artikolu 1

    Klijenti, kontropartijiet finanzjarji u tranżazzjonijiet

    1.   L-għadd ta’ klijenti affettwati mill-inċident kif imsemmi fl-Artikolu 18(1), il-punt (a), tar-Regolament (UE) 2022/2554, għandu jirrifletti l-għadd ta’ klijenti affettwati kollha, kemm jekk persuni fiżiċi kif ukoll jekk ġuridiċi, li ma jistgħux jew ma setgħux jagħmlu użu mis-servizz ipprovdut mill-entità finanzjarja matul l-inċident jew li kienu affettwati b’mod negattiv mill-inċident. Dan l-għadd għandu jinkludi wkoll partijiet terzi koperti b’mod espliċitu mill-ftehim kuntrattwali bejn l-entità finanzjarja u l-klijent bħala benefiċjarji tas-servizz affettwat.

    2.   L-għadd ta’ kontropartijiet finanzjarji affettwati mill-inċident kif imsemmi fl-Artikolu 18(1), il-punt (a), tar-Regolament (UE) 2022/2554 għandu jirrifletti l-għadd ta’ kontropartijiet finanzjarji affettwati kollha li jkunu kkonkludew arranġament kuntrattwali mal-entità finanzjarja.

    3.   Fir-rigward tar-rilevanza tal-klijenti u tal-kontropartijiet finanzjarji affettwati mill-inċident kif imsemmi fl-Artikolu 18(1), il-punt (a), tar-Regolament (UE) 2022/2554, l-entità finanzjarja għandha tqis il-punt sa fejn l-impatt fuq klijent jew kontroparti finanzjarja se jaffettwa l-implimentazzjoni tal-objettivi tan-negozju tal-entità finanzjarja, kif ukoll l-impatt potenzjali tal-inċident fuq l-effiċjenza tas-suq.

    4.   Fir-rigward tal-ammont jew tal-għadd ta’ tranżazzjonijiet affettwati mill-inċident kif imsemmi fl-Artikolu 18(1), il-punt (a), tar-Regolament (UE) 2022/2554, l-entità finanzjarja għandha tqis it-tranżazzjonijiet affettwati kollha li jinvolvu ammont monetarju fejn mill-inqas parti waħda tat-tranżazzjoni titwettaq fl-Unjoni.

    5.   Meta l-għadd reali ta’ klijenti jew kontropartijiet finanzjarji affettwati jew l-għadd attwali jew l-ammont ta’ tranżazzjonijiet affettwati ma jkunx jista’ jiġi ddeterminat, l-entità finanzjarja għandha tistma dawk in-numri jew ammonti abbażi tad-data disponibbli minn perjodi ta’ referenza komparabbli.

    Artikolu 2

    Impatt fuq ir-reputazzjoni

    1.   Għall-finijiet tad-determinazzjoni tal-impatt reputazzjonali tal-inċident kif imsemmi fl-Artikolu 18(1), il-punt (a), tar-Regolament (UE) 2022/2554, l-entitajiet finanzjarji għandhom iqisu li jkun seħħ impatt reputazzjonali fejn mill-inqas irid jiġi ssodisfat wieħed mill-kriterji li ġejjin:

    (a)

    l-inċident ikun ġie rifless fil-media;

    (b)

    l-inċident ikun irriżulta f’ilmenti ripetittivi minn klijenti jew kontropartijiet finanzjarji differenti dwar servizzi b’kuntatt mal-klijenti jew relazzjonijiet kummerċjali kritiċi;

    (c)

    l-entità finanzjarja mhux se tkun tista’ jew aktarx li ma tkunx tista’ tissodisfa r-rekwiżiti regolatorji bħala riżultat tal-inċident;

    (d)

    l-entità finanzjarja se titlef jew aktarx li titlef klijenti jew kontropartijiet finanzjarji b’impatt materjali fuq in-negozju tagħha bħala riżultat tal-inċident.

    2.   Meta l-entitajiet finanzjarji jivvalutaw l-impatt reputazzjonali tal-inċident, għandhom iqisu l-livell ta’ viżibbiltà li l-inċident ikun kiseb jew li x’aktarx jikseb fir-rigward ta’ kull kriterju elenkat fil-paragrafu 1.

    Artikolu 3

    Iż-żmien kemm dam l-inċident u kemm dam maqtugħ is-servizz

    1.   L-entitajiet finanzjarji għandhom ikejlu ż-żmien kemm dam l-inċident kif imsemmi fl-Artikolu 18(1), il-punt (b), tar-Regolament (UE) 2022/2554, mill-mument li jseħħ l-inċident sal-mument li jiġi solvut.

    Meta l-entitajiet finanzjarji ma jkunux jistgħu jiddeterminaw il-mument meta seħħ l-inċident, huma għandhom ikejlu ż-żmien kemm dam l-inċident mill-mument li jkun ġie identifikat. Meta l-entitajiet finanzjarji jsiru konxji li l-inċident seħħ qabel id-detezzjoni tiegħu, huma għandhom ikejlu ż-żmien kemm dam mill-mument li l-inċident jiġi rreġistrat fir-reġistri tan-network jew tas-sistemi jew f’sorsi oħra tad-data.

    Meta l-entitajiet finanzjarji jkunu għadhom ma jafux meta l-inċident se jiġi solvut jew ma jkunux jistgħu jivverifikaw ir-rekords fir-reġistri jew f’sorsi oħra tad-data, huma għandhom japplikaw l-istimi.

    2.   L-entitajiet finanzjarji għandhom ikejlu kemm dam maqtugħ is-servizz ta’ inċident kif imsemmi fl-Artikolu 18(1), il-punt (b), tar-Regolament (UE) 2022/2554, mill-mument li s-servizz ma jkunx kompletament jew parzjalment disponibbli għall-klijenti, għall-kontropartijiet finanzjarji jew għal utenti interni jew esterni oħra sal-mument meta l-attivitajiet jew l-operazzjonijiet regolari jkunu ġew restawrati għal-livell ta’ servizz li kien ipprovdut qabel l-inċident. Meta ż-żmien kemm dam maqtugħ is-servizz jikkawża dewmien fil-forniment tas-servizz wara li l-attivitajiet jew l-operazzjonijiet regolar jkunu rrestawrati, il-perjodu ta’ qtugħ għandu jitkejjel mill-bidu tal-inċident sal-mument meta dak is-servizz ittardjat jiġi pprovdut bis-sħiħ.

    Meta l-entitajiet finanzjarji ma jkunux jistgħu jiddeterminaw il-mument meta beda l-perjodu ta’ qtugħ tas-servizz, huma għandhom ikejlu kemm dam maqtugħ is-servizz mill-mument li jkun ġie identifikat.

    Artikolu 4

    Firxa ġeografika

    Għall-fini tad-determinazzjoni tal-firxa ġeografika fir-rigward taż-żoni affettwati mill-inċident kif imsemmi fl-Artikolu 18(1), il-punt (c), tar-Regolament (UE) 2022/2554, l-entitajiet finanzjarji għandhom jivvalutaw jekk l-inċident għandux jew kellux impatt fi Stati Membri oħra, u b’mod partikolari s-sinifikat tal-impatt fir-rigward ta’ kwalunkwe wieħed minn dawn li ġejjin:

    (a)

    klijenti u kontropartijiet finanzjarji fi Stati Membri oħra;

    (b)

    fergħat jew entitajiet finanzjarji oħra fil-grupp li jwettqu attivitajiet fi Stati Membri oħra;

    (c)

    infrastrutturi tas-suq finanzjarju jew fornituri terzi, li jistgħu jaffettwaw entitajiet finanzjarji fi Stati Membri oħra li lilhom jipprovdu servizzi, sa fejn tali informazzjoni tkun disponibbli.

    Artikolu 5

    Telf tad- data

    Għall-fini tad-determinazzjoni tat-telf tad-data li jinvolvi l-inċident kif imsemmi fl-Artikolu 18(1), il-punt (d), tar-Regolament (UE) 2022/2554, l-entitajiet finanzjarji għandhom iqisu dan li ġej:

    (a)

    fir-rigward tad-disponibbiltà tad-data, jekk l-inċident ikunx irrenda inaċċessibbli jew inutilizzabbli b’mod temporanju jew permanenti d-data mitluba mill-entità finanzjarja, il-klijenti tagħha jew il-kontropartijiet tagħha;

    (b)

    fir-rigward tal-awtentiċità tad-data, jekk l-inċident ikunx ikkomprometta l-affidabbiltà tas-sors tad-data;

    (c)

    fir-rigward tal-integrità tad-data, jekk l-inċident ikunx irriżulta f’modifika mhux awtorizzata ta’ data li għamlitha mhux preċiża jew mhux kompluta;

    (d)

    fir-rigward tal-kunfidenzjalità tad-data, jekk l-inċident ikunx irriżulta f’data li ġiet aċċessata jew żvelata lil parti jew sistema mhux awtorizzata.

    Artikolu 6

    Il-kritikalità tas-servizzi affettwati

    Għall-fini tad-determinazzjoni tal-kritikalità tas-servizzi affettwati kif imsemmi fl-Artikolu 18(1), il-punt (e), tar-Regolament (UE) 2022/2554, l-entitajiet finanzjarji għandhom jivvalutaw jekk l-inċident:

    (a)

    jaffetwax jew affettwax is-servizzi tal-ICT jew in-networks u s-sistemi tal-informazzjoni li jappoġġaw funzjonijiet kritiċi jew importanti tal-entità finanzjarja;

    (b)

    jaffettwax jew affettwax is-servizzi finanzjarji pprovduti mill-entità finanzjarja li jeħtieġu awtorizzazzjoni, reġistrazzjoni jew li huma ssorveljati mill-awtoritajiet kompetenti;

    (c)

    jikkostitwix jew ikkostitwix aċċess malizzjuż u mhux awtorizzat b’suċċess għan-network u għas-sistemi ta’ informazzjoni tal-entità finanzjarja.

    Artikolu 7

    Impatt ekonomiku

    1.   Għall-fini tad-determinazzjoni tal-impatt ekonomiku tal-inċident kif imsemmi fl-Artikolu 18(1), il-punt (f), tar-Regolament (UE) 2022/2554, l-entitajiet finanzjarji għandhom, mingħajr ma jqisu l-irkupri finanzjarji, iqisu t-tipi ta’ kostijiet diretti u indiretti u t-telf li jkunu ġarrbu b’riżultat tal-inċident:

    (a)

    fondi esproprjati jew assi finanzjarji li għalihom huma responsabbli, inklużi assi mitlufa minħabba serq;

    (b)

    kostijiet għas-sostituzzjoni jew ir-rilokazzjoni ta’ software, hardware jew infrastruttura;

    (c)

    kostijiet tal-persunal, inklużi l-kostijiet assoċjati mas-sostituzzjoni jew mar-rilokazzjoni tal-persunal, ir-reklutaġġ ta’ persunal addizzjonali, ir-remunerazzjoni tas-sahra u l-irkupru ta’ ħiliet mitlufa jew indeboliti;

    (d)

    tariffi dovuti għal nuqqas ta’ konformità mal-obbligi kuntrattwali;

    (e)

    kostijiet għar-rimedju u l-kumpens lill-klijenti;

    (f)

    telf dovut għal dħul mitluf;

    (g)

    kostijiet marbuta mal-komunikazzjoni interna u esterna;

    (h)

    kostijiet ta’ konsulenza, inklużi kostijiet assoċjati ma’ konsulenza legali, servizzi forensiċi u servizzi ta’ rimedju.

    2.   Il-kostijiet u t-telf imsemmija fil-paragrafu 1 ma għandhomx jinkludu l-kostijiet li huma meħtieġa għall-operat ta’ kuljum tan-negozju, b’mod partikolari dawn li ġejjin:

    (a)

    kostijiet għall-manutenzjoni ġenerali tal-infrastruttura, it-tagħmir, l-hardware u s-software, u l-kostijiet biex il-ħiliet tal-persunal jinżammu aġġornati;

    (b)

    kostijiet interni jew esterni biex jittejjeb in-negozju wara l-inċident, inklużi aġġornamenti, titjib u inizjattivi ta’ valutazzjoni tar-riskju;

    (c)

    primjums tal-assigurazzjoni.

    3.   L-entitajiet finanzjarji għandhom jikkalkulaw l-ammonti tal-kostijiet u t-telf abbażi tad-data disponibbli fiż-żmien tar-rappurtar. Meta l-ammonti reali tal-kostijiet u tat-telf ma jkunux jistgħu jiġu ddeterminati, l-entitajiet finanzjarji għandhom jistmaw dawk l-ammonti.

    4.   Meta jivvalutaw l-impatt ekonomiku tal-inċident, l-entitajiet finanzjarji għandhom jiġbru flimkien il-kostijiet u t-telf imsemmija fil-paragrafu 1.

    KAPITOLU II

    INĊIDENTI KBAR U LIVELLI LIMITU TA’ MATERJALITÀ

    Artikolu 8

    Inċidenti kbar

    1.   Inċident għandu jitqies bħala inċident kbir għall-finijiet tal-Artikolu 19(1) tar-Regolament (UE) 2022/2554 meta jkun affettwa servizzi kritiċi kif imsemmi fl-Artikolu 6 u meta tiġi ssodisfata waħda mill-kundizzjonijiet li ġejjin:

    (a)

    il-livell limitu ta’ materjalità msemmi fl-Artikolu 9(5), il-punt (b), jiġi ssodisfat;

    (b)

    jintlaħqu tnejn jew aktar mil-livelli limitu l-oħra ta’ materjalità msemmija fl-Artikoli 9(1) sa (6).

    2.   Inċidenti rikorrenti li individwalment ma jitqisux bħala inċident kbir f’konformità mal-paragrafu 1 għandhom jitqiesu bħala inċident wieħed kbir meta jissodisfaw il-kundizzjonijiet kollha li ġejjin:

    (a)

    ikunu seħħew mill-inqas darbtejn fi żmien 6 xhur;

    (b)

    ikollhom l-istess kawża ewlenija apparenti kif imsemmi fl-Artikolu 20, l-ewwel paragrafu, il-punt (b) tar-Regolament (UE) 2022/2554;

    (c)

    kollettivament jissodisfaw il-kriterji biex jitqiesu bħala inċident kbir stabbiliti fl-Artikolu 1.

    L-entitajiet finanzjarji għandhom jivvalutaw l-eżistenza ta’ inċidenti rikorrenti fuq bażi ta’ kull xahar.

    Dan il-paragrafu ma japplikax għall-mikrointrapriżi u għall-entitajiet finanzjarji elenkati fl-Artikolu 16(1) tar-Regolament (UE) 2022/2554.

    Artikolu 9

    Livelli limitu ta’ materjalità għad-determinazzjoni ta’ inċidenti kbar

    1.   Il-livell limitu ta’ materjalità għall-kriterju “klijenti, kontropartijiet finanzjarji u tranżazzjonijiet” jintlaħaq meta tiġi ssodisfata kwalunkwe waħda mill-kundizzjonijiet li ġejjin:

    (a)

    l-għadd ta’ klijenti affettwati jkun ogħla minn 10 % tal-klijenti kollha li jużaw is-servizz affettwat;

    (b)

    l-għadd ta’ klijenti affettwati li jużaw is-servizz affettwat ikun ogħla minn 100 000;

    (c)

    l-għadd ta’ kontropartijiet finanzjarji affettwati jkun ogħla minn 30 % tal-kontropartijiet finanzjarji kollha li jwettqu attivitajiet relatati mal-forniment tas-servizz affettwat;

    (d)

    l-għadd ta’ tranżazzjonijiet affettwati jkun ogħla minn 10 % tal-għadd medju ta’ kuljum ta’ tranżazzjonijiet imwettqa mill-entità finanzjarja relatata mas-servizz affettwat;

    (e)

    l-ammont ta’ tranżazzjonijiet affettwati jkun ogħla minn 10 % tal-valur medju ta’ kuljum tat-tranżazzjonijiet imwettqa mill-entità finanzjarja relatata mas-servizz affettwat;

    (f)

    il-klijenti jew il-kontropartijiet finanzjarji li ġew identifikati bħala rilevanti f’konformità mal-Artikolu 1(3) ikunu ġew affettwati.

    Meta l-għadd reali ta’ klijenti jew kontropartijiet finanzjarji affettwati jew l-għadd attwali jew l-ammont ta’ tranżazzjonijiet affettwati ma jkunx jista’ jiġi ddeterminat, l-entità finanzjarja għandha tistma dawk in-numri jew ammonti abbażi tad-data disponibbli minn perjodi ta’ referenza komparabbli.

    2.   Il-livell limitu ta’ materjalità għall-kriterju “impatt fuq ir-reputazzjoni” jintlaħaq meta tiġi ssodisfata kwalunkwe waħda mill-kundizzjonijiet stabbiliti fl-Artikolu 2, il-punti minn (a) sa (d).

    3.   Il-livell limitu ta’ materjalità għall-kriterju “iż-żmien kemm dam l-inċident u kemm dam maqtugħ is-servizz” jintlaħaq meta tiġi ssodisfata kwalunkwe waħda mill-kundizzjonijiet li ġejjin:

    (a)

    iż-żmien kemm dam l-inċident ikun itwal minn 24 siegħa;

    (b)

    il-perjodu ta’ qtugħ tas-servizz ikun itwal minn sagħtejn għas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti.

    4.   Il-livell limitu ta’ materjalità għall-kriterju “firxa ġeografika” jiġi ssodisfat meta l-inċident ikollu impatt f’żewġ Stati Membri jew aktar f’konformità mal-Artikolu 4.

    5.   Il-livell limitu ta’ materjalità għall-kriterju “telf tad-data ” jintlaħaq meta tiġi ssodisfata kwalunkwe waħda mill-kundizzjonijiet li ġejjin:

    (a)

    kwalunkwe impatt kif imsemmi fl-Artikolu 5 fuq id-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data għandu jew se jkollu impatt negattiv fuq l-implimentazzjoni tal-objettivi tan-negozju tal-entità finanzjarja jew fuq il-kapaċità tagħha li tissodisfa r-rekwiżiti regolatorji;

    (b)

    kwalunkwe aċċess li jirnexxi, malizzjuż u mhux awtorizzat mhux kopert mill-punt (a) iseħħ għan-network u għas-sistemi tal-informazzjoni, fejn tali aċċess jista’ jirriżulta f’telf tad-data.

    6.   Il-livell limitu ta’ materjalità għall-kriterju “impatt ekonomiku” jiġi ssodisfat meta l-kostijiet u t-telf imġarrbin mill-entità finanzjarja minħabba l-inċident ikunu qabżu jew aktarx li jaqbżu l-EUR 100 000.

    KAPITOLU III

    THEDDID ĊIBERNETIKU SINIFIKANTI

    Artikolu 10

    Livelli limitu għolja ta’ materjalità għad-determinazzjoni ta’ theddid ċibernetiku sinifikanti

    Għall-finijiet tal-Artikolu 18(2) tar-Regolament (UE) 2022/2554, theddida ċibernetika għandha titqies sinifikanti meta jiġu ssodisfati l-kundizzjonijiet kollha li ġejjin:

    (a)

    it-theddida ċibernetika, jekk timmaterjalizza, tista’ taffettwa jew setgħet affettwat funzjonijiet kritiċi jew importanti tal-entità finanzjarja, jew tista’ taffettwa entitajiet finanzjarji oħra, fornituri terzi, klijenti jew kontropartijiet finanzjarji, abbażi tal-informazzjoni disponibbli għall-entità finanzjarja;

    (b)

    it-theddida ċibernetika jkollha probabbiltà għolja ta’ materjalizzazzjoni fl-entità finanzjarja jew f’entitajiet finanzjarji oħra, filwaqt li jitqiesu mill-inqas l-elementi li ġejjin:

    (i)

    ir-riskji applikabbli relatati mat-theddida ċibernetika msemmija fil-punt (a), inklużi vulnerabbiltajiet potenzjali tas-sistemi tal-entità finanzjarja li jistgħu jiġu sfruttati;

    (ii)

    il-kapaċitajiet u l-intenzjoni tal-awturi ta’ theddida sal-punt magħruf mill-entità finanzjarja;

    (iii)

    il-persistenza tat-theddida u kwalunkwe għarfien akkumulat dwar inċidenti li kellhom impatt fuq l-entità finanzjarja jew il-fornitur terz tagħha, il-klijenti jew il-kontropartijiet finanzjarji;

    (c)

    it-theddida ċibernetika tista’, jekk timmaterjalizza, tissodisfa kwalunkwe waħda minn dawn li ġejjin:

    (i)

    il-kriterju dwar il-kritikalità tas-servizzi stabbilit fl-Artikolu 18(1), il-punt (e), tar-Regolament (UE) 2022/2554, kif speċifikat fl-Artikolu 6 ta’ dan ir-Regolament;

    (ii)

    il-livell limitu ta’ materjalità stabbilit fl-Artikolu 9(1);

    (iii)

    il-livell limitu ta’ materjalità stabbilit fl-Artikolu 9(4).

    Meta, skont it-tip ta’ theddida ċibernetika u l-informazzjoni disponibbli, l-entità finanzjarja tikkonkludi li l-livelli limitu ta’ materjalità stabbiliti fl-Artikolu 9(2), (3), (5) u (6) jistgħu jintlaħqu, dawk il-livelli limitu jistgħu jiġu kkunsidrati wkoll.

    KAPITOLU IV

    RILEVANZA TA’ INĊIDENTI KBAR GĦALL-AWTORITAJIET KOMPETENTI FI STATI MEMBRI OĦRA U D-DETTALJI TAR-RAPPORTI LI GĦANDHOM JIĠU KONDIVIŻI MA’ AWTORITAJIET KOMPETENTI OĦRA

    Artikolu 11

    Rilevanza ta’ inċidenti kbar għall-awtoritajiet kompetenti fi Stati Membri oħra

    Il-valutazzjoni ta’ jekk l-inċident kbir huwiex rilevanti għall-awtoritajiet kompetenti fi Stati Membri oħra kif imsemmi fl-Artikolu 19(7) tar-Regolament (UE) 2022/2554 għandha tkun ibbażata fuq jekk l-inċident għandux kawża ewlenija li toriġina minn Stat Membru ieħor jew jekk l-inċident għandux jew kellux impatt sinifikanti fi Stat Membru ieħor fir-rigward ta’ kwalunkwe wieħed minn dawn li ġejjin:

    (a)

    klijenti jew kontropartijiet finanzjarji;

    (b)

    fergħa tal-entità finanzjarja jew entità finanzjarja oħra fil-grupp;

    (c)

    infrastruttura tas-suq finanzjarju jew fornitur terz li jista’ jaffettwa entitajiet finanzjarji li lilhom jipprovdu servizzi.

    Artikolu 12

    Dettalji ta’ inċidenti kbar li għandhom jiġu kondiviżi ma’ awtoritajiet kompetenti oħra

    Id-dettalji ta’ inċidenti kbar li għandhom jiġu ppreżentati mill-awtoritajiet kompetenti lil awtoritajiet kompetenti oħra f’konformità mal-Artikolu 19(6) tar-Regolament (UE) 2022/2554 u n-notifiki li għandhom jiġu ppreżentati mill-EBA, l-ESMA jew l-EIOPA u l-BĊE lill-awtoritajiet kompetenti rilevanti fi Stati Membri oħra f’konformità mal-Artikolu 19(7) ta’ dak ir-Regolament għandu jkun fihom l-istess livell ta’ informazzjoni, mingħajr ebda anonimizzazzjoni, bħan-notifiki u r-rapporti ta’ inċidenti kbar riċevuti minn entitajiet finanzjarji f’konformità mal-Artikolu 19(4) tar-Regolament (UE) 2022/2554.

    KAPITOLU V

    DISPOŻIZZJONIJIET FINALI

    Artikolu 13

    Dħul fis-seħħ

    Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

    Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

    Magħmul fi Brussell, it-13 ta’ Marzu 2024.

    Għall-Kummissjoni

    Il-President

    Ursula VON DER LEYEN

    (1)   ĠU L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

    (2)  Id-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill tal-25 ta’ Novembru 2015 dwar is-servizzi ta’ pagament fis-suq intern, li temenda d-Direttivi 2002/65/KE, 2009/110/KE u 2013/36/UE u r-Regolament (UE) Nru 1093/2010, u li tħassar id-Direttiva 2007/64/KE (ĠU L 337, 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).

    (3)  Ir-Regolament Delegat tal-Kummissjoni (UE) 2018/959 tal-14 ta’ Marzu 2018 li jissupplimenta r-Regolament (UE) Nru 575/2013 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-ispeċifikazzjoni tal-metodoloġija ta’ valutazzjoni li skont liema l-awtoritajiet kompetenti jippermettu lill-istituzzjonijiet jużaw Approċċi ta’ Kejl Avvanzat għar-riskju operazzjonali (ĠU L 169, 6.7.2018, p. 1, ELI: http://data.europa.eu/eli/reg_del/2018/959/oj).

    (4)  Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

    (5)  Id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Lulju 2002 dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika) (ĠU L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).

    (6)  Ir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/78/KE (ĠU L 331, 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).

    (7)  Ir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol), u li jemenda d-Deċiżjoni Nru 716/2009/KE u li jħassar id-Deċiżjoni tal-Kummissjoni 2009/79/KE (ĠU L 331, 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).

    (8)  Ir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/77/KE (ĠU L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

    (9)  Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

    ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj

    ISSN 1977-074X (electronic edition)

    Top