This document is an excerpt from the EUR-Lex website
Document 32024R1772
Commission Delegated Regulation (EU) 2024/1772 of 13 March 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the criteria for the classification of ICT-related incidents and cyber threats, setting out materiality thresholds and specifying the details of reports of major incidents
Regolament Delegat tal-Kummissjoni (UE) 2024/1772 tat-13 ta’ Marzu 2024 li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta’ standards tekniċi regolatorji li jispeċifikaw il-kriterji għall-klassifikazzjoni ta’ inċidenti relatati mal-ICT u theddid ċibernetiku, li jistabbilixxi livelli limitu ta’ materjalità u li jispeċifika d-dettalji tar-rapporti ta’ inċidenti kbar
Regolament Delegat tal-Kummissjoni (UE) 2024/1772 tat-13 ta’ Marzu 2024 li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta’ standards tekniċi regolatorji li jispeċifikaw il-kriterji għall-klassifikazzjoni ta’ inċidenti relatati mal-ICT u theddid ċibernetiku, li jistabbilixxi livelli limitu ta’ materjalità u li jispeċifika d-dettalji tar-rapporti ta’ inċidenti kbar
C/2024/1519
ĠU L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
Il-Ġurnal Uffiċjali |
MT Is-serje L |
2024/1772 |
25.6.2024 |
REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2024/1772
tat-13 ta’ Marzu 2024
li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta’ standards tekniċi regolatorji li jispeċifikaw il-kriterji għall-klassifikazzjoni ta’ inċidenti relatati mal-ICT u theddid ċibernetiku, li jistabbilixxi livelli limitu ta’ materjalità u li jispeċifika d-dettalji tar-rapporti ta’ inċidenti kbar
(Test b’relevanza għaż-ŻEE)
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (1), u b’mod partikolari l-Artikolu 18(4), it-tielet subparagrafu tiegħu,
Billi:
(1) |
Ir-Regolament (UE) 2022/2554 għandu l-għan li jarmonizza u jissimplifika r-rekwiżiti ta’ rappurtar għal inċidenti relatati mal-ICT u għal inċidenti operazzjonali jew tas-sigurtà relatati ma’ pagamenti li jikkonċernaw istituzzjonijiet ta’ kreditu, istituzzjonijiet ta’ pagament, fornituri ta’ servizzi ta’ informazzjoni dwar il-kontijiet, u istituzzjonijiet tal-flus elettroniċi (“inċidenti”). Meta jitqies li r-rekwiżiti ta’ rappurtar ikopru 20 tip differenti ta’ entitajiet finanzjarji, jenħtieġ li l-kriterji ta’ klassifikazzjoni u l-livelli limitu ta’ materjalità għad-determinazzjoni ta’ inċidenti kbar u theddid ċibernetiku sinifikanti jiġu speċifikati b’mod sempliċi, armonizzat u konsistenti li jqis l-ispeċifiċitajiet tas-servizzi u l-attivitajiet tal-entitajiet finanzjarji rilevanti kollha. |
(2) |
Sabiex tiġi żgurata l-proporzjonalità, il-kriterji ta’ klassifikazzjoni u l-livelli limitu ta’ materjalità jenħtieġ li jirriflettu d-daqs u l-profil tar-riskju ġenerali, u n-natura, l-iskala u l-kumplessità tas-servizzi tal-entitajiet finanzjarji kollha. Barra minn hekk, jenħtieġ li l-kriterji u l-livelli limitu ta’ materjalità jitfasslu b’tali mod li japplikaw b’mod konsistenti għall-entitajiet finanzjarji kollha, irrispettivament mid-daqs u l-profil tar-riskju tagħhom, u li ma joħolqux piż ta’ rappurtar sproporzjonat għal entitajiet finanzjarji iżgħar. Madankollu, sabiex jiġu indirizzati sitwazzjonijiet fejn għadd sinifikanti ta’ klijenti jkunu affettwati minn inċident li bħala tali ma jaqbiżx il-livell limitu applikabbli, jenħtieġ li jiġi stabbilit livell limitu assolut li jkun prinċipalment immirat lejn entitajiet finanzjarji akbar. |
(3) |
Fir-rigward tal-oqfsa ta’ rappurtar tal-inċidenti, li kienu jeżistu qabel id-dħul fis-seħħ tar-Regolament (UE) 2022/2554, jenħtieġ li tiġi żgurata l-kontinwità għall-entitajiet finanzjarji. Għalhekk, il-kriterji ta’ klassifikazzjoni u l-livelli limitu ta’ materjalità jenħtieġ li jiġu allinjati mal-Linji Gwida tal-EBA dwar ir-rappurtar ta’ inċidenti kbar skont id-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill (2), il-Linji Gwida dwar l-informazzjoni perjodika u n-notifika ta’ bidliet materjali li għandhom jiġu ppreżentati lill-ESMA mir-Repożitorji tat-Tranżazzjonijiet, il-Qafas ta’ Rappurtar ta’ Inċidenti Ċibernetiċi tal-BĊE/MSU u gwida rilevanti oħra u jkunu ispirati minnhom. Il-kriterji u l-limiti ta’ klassifikazzjoni jenħtieġ li jkunu xierqa wkoll għall-entitajiet finanzjarji li ma kinux soġġetti għal rekwiżiti ta’ rappurtar tal-inċidenti qabel ir-Regolament (UE) 2022/2554. |
(4) |
Fir-rigward tal-kriterju ta’ klassifikazzjoni “l-ammont jew l-għadd ta’ tranżazzjonijiet affettwati”, il-kunċett ta’ tranżazzjonijiet huwa wiesa’ u jkopri attivitajiet u servizzi differenti fl-atti settorjali applikabbli għall-entitajiet finanzjarji. Għall-finijiet ta’ dak il-kriterju ta’ klassifikazzjoni, jenħtieġ li t-tranżazzjonijiet ta’ pagament u l-forom kollha ta’ skambju ta’ strumenti finanzjarji, kriptoassi, komoditajiet, jew kwalunkwe assi ieħor, anki fil-forma ta’ marġni, kollateral jew wegħda, ikunu koperti kemm fil-konfront ta’ flus kontanti kif ukoll fil-konfront ta’ kwalunkwe assi ieħor. Jenħtieġ li t-tranżazzjonijiet kollha li jinvolvu assi li l-valur tagħhom jista’ jiġi espress f’ammont monetarju, jitqiesu għall-finijiet ta’ klassifikazzjoni. |
(5) |
Jenħtieġ li l-kriterji ta’ klassifikazzjoni jiżguraw li jinqabdu t-tipi rilevanti kollha ta’ inċidenti kbar. L-attakki ċibernetiċi relatati mal-intrużjoni fin-network jew fis-sistemi tal-informazzjoni mhux neċessarjament jinqabdu minn ħafna kriterji ta’ klassifikazzjoni. Madankollu, dawn huma importanti peress li kwalunkwe intrużjoni fin-network u fis-sistemi ta’ informazzjoni tista’ tikkawża ħsara lill-entità finanzjarja. Għaldaqstant, jenħtieġ li l-kriterji ta’ klassifikazzjoni “servizzi kritiċi affettwati” u “telf tad-data” jiġu speċifikati b’tali mod li jinqabdu dawn it-tipi ta’ inċidenti kbar, b’mod partikolari intrużjonijiet mhux awtorizzati li, anki jekk l-impatti ma jkunux magħrufa minnufih, jistgħu jwasslu għal konsegwenzi serji, b’mod partikolari ksur tad-data u rivelazzjonijiet tad-data. |
(6) |
Peress li l-istituzzjonijiet ta’ kreditu huma soġġetti kemm għall-qafas għall-klassifikazzjoni tal-inċidenti skont l-Artikolu 18 tar-Regolament (UE) 2022/2554 kif ukoll għall-qafas tar-riskju operazzjonali skont ir-Regolament Delegat tal-Kummissjoni (UE) 2018/959 (3), jenħtieġ li l-approċċ għall-valutazzjoni tal-impatt ekonomiku ta’ inċident ibbażat fuq il-kalkolu tal-kostijiet u t-telf, ikun kemm jista’ jkun konsistenti fiż-żewġ oqfsa biex tiġi evitata l-introduzzjoni ta’ rekwiżiti inkompatibbli jew kontradittorji. |
(7) |
Jenħtieġ li l-kriterju fir-rigward tal-firxa ġeografika ta’ inċident stabbilit fl-Artikolu 18(1), il-punt (c), tar-Regolament (UE) 2022/2554 jiffoka fuq l-impatt transfruntier tal-inċident, peress li l-impatt ta’ inċident fuq l-attivitajiet ta’ entità finanzjarja f’ġuriżdizzjoni unika se jinqabad mill-kriterji l-oħra stabbiliti f’dak l-Artikolu. |
(8) |
Minħabba li l-kriterji ta’ klassifikazzjoni huma interdipendenti u marbuta ma’ xulxin, jenħtieġ li l-approċċ għall-identifikazzjoni ta’ inċidenti kbar li għandhom jiġu rrapportati f’konformità mal-Artikolu 19(1) tar-Regolament (UE) 2022/2554 jkun ibbażat fuq taħlita ta’ kriterji, fejn jenħtieġ li xi kriterji li huma relatati mill-qrib mad-definizzjonijiet ta’ inċident relatat mal-ICT u inċident kbir relatat mal-ICT stabbiliti fl-Artikolu 3(8) u (10) tar-Regolament (UE) 2022/2554 jkollhom aktar prominenza fil-klassifikazzjoni ta’ inċidenti kbar minn kriterji oħra. |
(9) |
Bil-ħsieb li jiġi żgurat li r-rapporti u n-notifiki ta’ inċidenti kbar riċevuti mill-awtoritajiet kompetenti skont l-Artikolu 19(1) tar-Regolament (UE) 2022/2554 iservu kemm għal finijiet superviżorji kif ukoll għall-prevenzjoni ta’ kontaġju fis-settur finanzjarju kollu, jenħtieġ li l-livelli limitu ta’ materjalità jagħmlu l-qbid ta’ inċidenti kbar possibbli, billi jiffokaw, fost l-oħrajn, fuq l-impatt fuq is-servizzi kritiċi speċifiċi għall-entità, il-livelli limitu assoluti u relattivi speċifiċi tal-klijenti jew tal-kontropartijiet finanzjarji, it-tranżazzjonijiet li jindikaw impatt materjali fuq l-entità finanzjarja, u s-sinifikat tal-impatt fi Stati Membri oħra. |
(10) |
Jenħtieġ li l-inċidenti li jaffettwaw is-servizzi tal-ICT jew in-network u s-sistemi tal-informazzjoni li jappoġġaw funzjonijiet kritiċi jew importanti, jew servizzi finanzjarji li jeħtieġu awtorizzazzjoni jew aċċess malizzjuż mhux awtorizzat għan-network u għas-sistemi tal-informazzjoni li jappoġġaw funzjonijiet kritiċi jew importanti, jitqiesu bħala inċidenti li jaffettwaw is-servizzi kritiċi tal-entitajiet finanzjarji. Aċċess malizzjuż u mhux awtorizzat għan-network u għas-sistemi ta’ informazzjoni li jappoġġaw funzjonijiet kritiċi jew importanti tal-entitajiet finanzjarji, joħloq riskji serji għall-entità finanzjarja u, peress li jista’ jaffettwa entitajiet finanzjarji oħra, jenħtieġ li dejjem jitqies bħala inċident kbir li għandu jiġi rrappurtat. |
(11) |
Inċidenti rikorrenti li jkunu marbuta permezz ta’ kawża ewlenija apparenti simili, li individwalment ma jkunux inċidenti kbar, jistgħu jindikaw nuqqasijiet u dgħufijiet sinifikanti fil-proċeduri ta’ ġestjoni tal-inċidenti u tar-riskji tal-entità finanzjarja. Għalhekk, jenħtieġ li l-inċidenti rikorrenti jitqiesu bħala kollettivament kbar meta jseħħu ripetutament matul ċertu perjodu ta’ żmien. |
(12) |
Meta jitqies li t-theddid ċibernetiku jista’ jkollu impatt negattiv fuq l-entità u s-settur finanzjarju, it-theddid ċibernetiku sinifikanti li l-entitajiet finanzjarji jistgħu jippreżentaw jenħtieġ li jindika l-probabbiltà ta’ materjalizzazzjoni u l-kritikalità tal-impatt potenzjali. Għaldaqstant, biex tiġi żgurata valutazzjoni ċara u konsistenti tas-sinifikat tat-theddid ċibernetiku, jenħtieġ li l-klassifikazzjoni ta’ theddida ċibernetika bħala sinifikanti tkun dipendenti fuq il-probabbiltà li l-kriterji ta’ klassifikazzjoni għal inċidenti kbar u l-livell limitu tagħhom jiġu ssodisfati jekk it-theddida tkun immaterjalizzat, fuq it-tip ta’ theddida ċibernetika u fuq l-informazzjoni disponibbli għall-entità finanzjarja. |
(13) |
Meta jitqies li l-awtoritajiet kompetenti fi Stati Membri oħra għandhom jiġu nnotifikati b’inċidenti li jkollhom impatt fuq l-entitajiet finanzjarji u l-klijenti fil-ġuriżdizzjoni tagħhom, jenħtieġ li l-valutazzjoni tal-impatt f’ġuriżdizzjoni oħra f’konformità mal-Artikolu 19(7) tar-Regolament (UE) 2022/2554 tkun ibbażata fuq il-kawża ewlenija tal-inċident, fuq il-kontaġju potenzjali permezz ta’ fornituri terzi u fuq l-infrastrutturi tas-suq finanzjarju, kif ukoll fuq l-impatt tal-inċident fuq gruppi sinifikanti ta’ klijenti jew kontropartijiet finanzjarji. |
(14) |
Il-proċessi ta’ rappurtar u ta’ notifika msemmija fl-Artikolu 19(6) u (7) tar-Regolament (UE) 2022/2554 jenħtieġ li jippermettu lir-riċevituri rispettivi jivvalutaw l-impatt tal-inċidenti. Għalhekk, jenħtieġ li l-informazzjoni trażmessa tkopri d-dettalji kollha li jinsabu fir-rapporti tal-inċidenti ppreżentati mill-entità finanzjarja lill-awtorità kompetenti. |
(15) |
Meta inċident jikkostitwixxi ksur ta’ data personali skont ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (4) u d-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill (5), jenħtieġ li dan ir-Regolament ma jaffettwax l-obbligi ta’ reġistrazzjoni u ta’ notifika għall-ksur ta’ data personali stabbiliti f’dawk il-liġijiet tal-Unjoni. Jenħtieġ li l-awtoritajiet kompetenti jikkooperaw u jiskambjaw informazzjoni dwar il-kwistjonijiet rilevanti kollha mal-awtoritajiet imsemmija fir-Regolament (UE) 2016/679 u d-Direttiva 2002/58/KE. |
(16) |
Dan ir-Regolament huwa bbażat fuq l-abbozz tal-istandards tekniċi regolatorji ppreżentat lill-Kummissjoni mill-Awtoritajiet Superviżorji Ewropej, f’konsultazzjoni mal-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (European Union Agency for Cybersecurity, ENISA) u l-Bank Ċentrali Ewropew (BĊE). |
(17) |
Il-Kumitat Konġunt tal-Awtoritajiet Superviżorji Ewropej imsemmi fl-Artikolu 54 tar-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (6), fl-Artikolu 54 tar-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill (7) u fl-Artikolu 54 tar-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill (8) wettaq konsultazzjonijiet pubbliċi miftuħa dwar l-abbozz ta’ standards tekniċi regolatorji li fuqhom huwa bbażat dan ir-Regolament, analizza l-kostijiet u l-benefiċċji potenzjali tal-istandards proposti u talab il-parir tal-Grupp tal-Partijiet Bankarji Interessati stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1093/2010, tal-Grupp tal-Partijiet Interessati tal-Oqsma tal-Assigurazzjoni u tar-Riassigurazzjoni u tal-Grupp tal-Partijiet Interessati tal-Qasam tal-Pensjonijiet tax-Xogħol stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1094/2010, u tal-Grupp tal-Partijiet Interessati tat-Titoli u s-Swieq stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1095/2010, |
(18) |
Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (9) u ta l-opinjoni tiegħu fl-24 ta’ Jannar 2024. |
ADOTTAT DAN IR-REGOLAMENT:
KAPITOLU I
KRITERJI TA’ KLASSIFIKAZZJONI
Artikolu 1
Klijenti, kontropartijiet finanzjarji u tranżazzjonijiet
1. L-għadd ta’ klijenti affettwati mill-inċident kif imsemmi fl-Artikolu 18(1), il-punt (a), tar-Regolament (UE) 2022/2554, għandu jirrifletti l-għadd ta’ klijenti affettwati kollha, kemm jekk persuni fiżiċi kif ukoll jekk ġuridiċi, li ma jistgħux jew ma setgħux jagħmlu użu mis-servizz ipprovdut mill-entità finanzjarja matul l-inċident jew li kienu affettwati b’mod negattiv mill-inċident. Dan l-għadd għandu jinkludi wkoll partijiet terzi koperti b’mod espliċitu mill-ftehim kuntrattwali bejn l-entità finanzjarja u l-klijent bħala benefiċjarji tas-servizz affettwat.
2. L-għadd ta’ kontropartijiet finanzjarji affettwati mill-inċident kif imsemmi fl-Artikolu 18(1), il-punt (a), tar-Regolament (UE) 2022/2554 għandu jirrifletti l-għadd ta’ kontropartijiet finanzjarji affettwati kollha li jkunu kkonkludew arranġament kuntrattwali mal-entità finanzjarja.
3. Fir-rigward tar-rilevanza tal-klijenti u tal-kontropartijiet finanzjarji affettwati mill-inċident kif imsemmi fl-Artikolu 18(1), il-punt (a), tar-Regolament (UE) 2022/2554, l-entità finanzjarja għandha tqis il-punt sa fejn l-impatt fuq klijent jew kontroparti finanzjarja se jaffettwa l-implimentazzjoni tal-objettivi tan-negozju tal-entità finanzjarja, kif ukoll l-impatt potenzjali tal-inċident fuq l-effiċjenza tas-suq.
4. Fir-rigward tal-ammont jew tal-għadd ta’ tranżazzjonijiet affettwati mill-inċident kif imsemmi fl-Artikolu 18(1), il-punt (a), tar-Regolament (UE) 2022/2554, l-entità finanzjarja għandha tqis it-tranżazzjonijiet affettwati kollha li jinvolvu ammont monetarju fejn mill-inqas parti waħda tat-tranżazzjoni titwettaq fl-Unjoni.
5. Meta l-għadd reali ta’ klijenti jew kontropartijiet finanzjarji affettwati jew l-għadd attwali jew l-ammont ta’ tranżazzjonijiet affettwati ma jkunx jista’ jiġi ddeterminat, l-entità finanzjarja għandha tistma dawk in-numri jew ammonti abbażi tad-data disponibbli minn perjodi ta’ referenza komparabbli.
Artikolu 2
Impatt fuq ir-reputazzjoni
1. Għall-finijiet tad-determinazzjoni tal-impatt reputazzjonali tal-inċident kif imsemmi fl-Artikolu 18(1), il-punt (a), tar-Regolament (UE) 2022/2554, l-entitajiet finanzjarji għandhom iqisu li jkun seħħ impatt reputazzjonali fejn mill-inqas irid jiġi ssodisfat wieħed mill-kriterji li ġejjin:
(a) |
l-inċident ikun ġie rifless fil-media; |
(b) |
l-inċident ikun irriżulta f’ilmenti ripetittivi minn klijenti jew kontropartijiet finanzjarji differenti dwar servizzi b’kuntatt mal-klijenti jew relazzjonijiet kummerċjali kritiċi; |
(c) |
l-entità finanzjarja mhux se tkun tista’ jew aktarx li ma tkunx tista’ tissodisfa r-rekwiżiti regolatorji bħala riżultat tal-inċident; |
(d) |
l-entità finanzjarja se titlef jew aktarx li titlef klijenti jew kontropartijiet finanzjarji b’impatt materjali fuq in-negozju tagħha bħala riżultat tal-inċident. |
2. Meta l-entitajiet finanzjarji jivvalutaw l-impatt reputazzjonali tal-inċident, għandhom iqisu l-livell ta’ viżibbiltà li l-inċident ikun kiseb jew li x’aktarx jikseb fir-rigward ta’ kull kriterju elenkat fil-paragrafu 1.
Artikolu 3
Iż-żmien kemm dam l-inċident u kemm dam maqtugħ is-servizz
1. L-entitajiet finanzjarji għandhom ikejlu ż-żmien kemm dam l-inċident kif imsemmi fl-Artikolu 18(1), il-punt (b), tar-Regolament (UE) 2022/2554, mill-mument li jseħħ l-inċident sal-mument li jiġi solvut.
Meta l-entitajiet finanzjarji ma jkunux jistgħu jiddeterminaw il-mument meta seħħ l-inċident, huma għandhom ikejlu ż-żmien kemm dam l-inċident mill-mument li jkun ġie identifikat. Meta l-entitajiet finanzjarji jsiru konxji li l-inċident seħħ qabel id-detezzjoni tiegħu, huma għandhom ikejlu ż-żmien kemm dam mill-mument li l-inċident jiġi rreġistrat fir-reġistri tan-network jew tas-sistemi jew f’sorsi oħra tad-data.
Meta l-entitajiet finanzjarji jkunu għadhom ma jafux meta l-inċident se jiġi solvut jew ma jkunux jistgħu jivverifikaw ir-rekords fir-reġistri jew f’sorsi oħra tad-data, huma għandhom japplikaw l-istimi.
2. L-entitajiet finanzjarji għandhom ikejlu kemm dam maqtugħ is-servizz ta’ inċident kif imsemmi fl-Artikolu 18(1), il-punt (b), tar-Regolament (UE) 2022/2554, mill-mument li s-servizz ma jkunx kompletament jew parzjalment disponibbli għall-klijenti, għall-kontropartijiet finanzjarji jew għal utenti interni jew esterni oħra sal-mument meta l-attivitajiet jew l-operazzjonijiet regolari jkunu ġew restawrati għal-livell ta’ servizz li kien ipprovdut qabel l-inċident. Meta ż-żmien kemm dam maqtugħ is-servizz jikkawża dewmien fil-forniment tas-servizz wara li l-attivitajiet jew l-operazzjonijiet regolar jkunu rrestawrati, il-perjodu ta’ qtugħ għandu jitkejjel mill-bidu tal-inċident sal-mument meta dak is-servizz ittardjat jiġi pprovdut bis-sħiħ.
Meta l-entitajiet finanzjarji ma jkunux jistgħu jiddeterminaw il-mument meta beda l-perjodu ta’ qtugħ tas-servizz, huma għandhom ikejlu kemm dam maqtugħ is-servizz mill-mument li jkun ġie identifikat.
Artikolu 4
Firxa ġeografika
Għall-fini tad-determinazzjoni tal-firxa ġeografika fir-rigward taż-żoni affettwati mill-inċident kif imsemmi fl-Artikolu 18(1), il-punt (c), tar-Regolament (UE) 2022/2554, l-entitajiet finanzjarji għandhom jivvalutaw jekk l-inċident għandux jew kellux impatt fi Stati Membri oħra, u b’mod partikolari s-sinifikat tal-impatt fir-rigward ta’ kwalunkwe wieħed minn dawn li ġejjin:
(a) |
klijenti u kontropartijiet finanzjarji fi Stati Membri oħra; |
(b) |
fergħat jew entitajiet finanzjarji oħra fil-grupp li jwettqu attivitajiet fi Stati Membri oħra; |
(c) |
infrastrutturi tas-suq finanzjarju jew fornituri terzi, li jistgħu jaffettwaw entitajiet finanzjarji fi Stati Membri oħra li lilhom jipprovdu servizzi, sa fejn tali informazzjoni tkun disponibbli. |
Artikolu 5
Telf tad- data
Għall-fini tad-determinazzjoni tat-telf tad-data li jinvolvi l-inċident kif imsemmi fl-Artikolu 18(1), il-punt (d), tar-Regolament (UE) 2022/2554, l-entitajiet finanzjarji għandhom iqisu dan li ġej:
(a) |
fir-rigward tad-disponibbiltà tad-data, jekk l-inċident ikunx irrenda inaċċessibbli jew inutilizzabbli b’mod temporanju jew permanenti d-data mitluba mill-entità finanzjarja, il-klijenti tagħha jew il-kontropartijiet tagħha; |
(b) |
fir-rigward tal-awtentiċità tad-data, jekk l-inċident ikunx ikkomprometta l-affidabbiltà tas-sors tad-data; |
(c) |
fir-rigward tal-integrità tad-data, jekk l-inċident ikunx irriżulta f’modifika mhux awtorizzata ta’ data li għamlitha mhux preċiża jew mhux kompluta; |
(d) |
fir-rigward tal-kunfidenzjalità tad-data, jekk l-inċident ikunx irriżulta f’data li ġiet aċċessata jew żvelata lil parti jew sistema mhux awtorizzata. |
Artikolu 6
Il-kritikalità tas-servizzi affettwati
Għall-fini tad-determinazzjoni tal-kritikalità tas-servizzi affettwati kif imsemmi fl-Artikolu 18(1), il-punt (e), tar-Regolament (UE) 2022/2554, l-entitajiet finanzjarji għandhom jivvalutaw jekk l-inċident:
(a) |
jaffetwax jew affettwax is-servizzi tal-ICT jew in-networks u s-sistemi tal-informazzjoni li jappoġġaw funzjonijiet kritiċi jew importanti tal-entità finanzjarja; |
(b) |
jaffettwax jew affettwax is-servizzi finanzjarji pprovduti mill-entità finanzjarja li jeħtieġu awtorizzazzjoni, reġistrazzjoni jew li huma ssorveljati mill-awtoritajiet kompetenti; |
(c) |
jikkostitwix jew ikkostitwix aċċess malizzjuż u mhux awtorizzat b’suċċess għan-network u għas-sistemi ta’ informazzjoni tal-entità finanzjarja. |
Artikolu 7
Impatt ekonomiku
1. Għall-fini tad-determinazzjoni tal-impatt ekonomiku tal-inċident kif imsemmi fl-Artikolu 18(1), il-punt (f), tar-Regolament (UE) 2022/2554, l-entitajiet finanzjarji għandhom, mingħajr ma jqisu l-irkupri finanzjarji, iqisu t-tipi ta’ kostijiet diretti u indiretti u t-telf li jkunu ġarrbu b’riżultat tal-inċident:
(a) |
fondi esproprjati jew assi finanzjarji li għalihom huma responsabbli, inklużi assi mitlufa minħabba serq; |
(b) |
kostijiet għas-sostituzzjoni jew ir-rilokazzjoni ta’ software, hardware jew infrastruttura; |
(c) |
kostijiet tal-persunal, inklużi l-kostijiet assoċjati mas-sostituzzjoni jew mar-rilokazzjoni tal-persunal, ir-reklutaġġ ta’ persunal addizzjonali, ir-remunerazzjoni tas-sahra u l-irkupru ta’ ħiliet mitlufa jew indeboliti; |
(d) |
tariffi dovuti għal nuqqas ta’ konformità mal-obbligi kuntrattwali; |
(e) |
kostijiet għar-rimedju u l-kumpens lill-klijenti; |
(f) |
telf dovut għal dħul mitluf; |
(g) |
kostijiet marbuta mal-komunikazzjoni interna u esterna; |
(h) |
kostijiet ta’ konsulenza, inklużi kostijiet assoċjati ma’ konsulenza legali, servizzi forensiċi u servizzi ta’ rimedju. |
2. Il-kostijiet u t-telf imsemmija fil-paragrafu 1 ma għandhomx jinkludu l-kostijiet li huma meħtieġa għall-operat ta’ kuljum tan-negozju, b’mod partikolari dawn li ġejjin:
(a) |
kostijiet għall-manutenzjoni ġenerali tal-infrastruttura, it-tagħmir, l-hardware u s-software, u l-kostijiet biex il-ħiliet tal-persunal jinżammu aġġornati; |
(b) |
kostijiet interni jew esterni biex jittejjeb in-negozju wara l-inċident, inklużi aġġornamenti, titjib u inizjattivi ta’ valutazzjoni tar-riskju; |
(c) |
primjums tal-assigurazzjoni. |
3. L-entitajiet finanzjarji għandhom jikkalkulaw l-ammonti tal-kostijiet u t-telf abbażi tad-data disponibbli fiż-żmien tar-rappurtar. Meta l-ammonti reali tal-kostijiet u tat-telf ma jkunux jistgħu jiġu ddeterminati, l-entitajiet finanzjarji għandhom jistmaw dawk l-ammonti.
4. Meta jivvalutaw l-impatt ekonomiku tal-inċident, l-entitajiet finanzjarji għandhom jiġbru flimkien il-kostijiet u t-telf imsemmija fil-paragrafu 1.
KAPITOLU II
INĊIDENTI KBAR U LIVELLI LIMITU TA’ MATERJALITÀ
Artikolu 8
Inċidenti kbar
1. Inċident għandu jitqies bħala inċident kbir għall-finijiet tal-Artikolu 19(1) tar-Regolament (UE) 2022/2554 meta jkun affettwa servizzi kritiċi kif imsemmi fl-Artikolu 6 u meta tiġi ssodisfata waħda mill-kundizzjonijiet li ġejjin:
(a) |
il-livell limitu ta’ materjalità msemmi fl-Artikolu 9(5), il-punt (b), jiġi ssodisfat; |
(b) |
jintlaħqu tnejn jew aktar mil-livelli limitu l-oħra ta’ materjalità msemmija fl-Artikoli 9(1) sa (6). |
2. Inċidenti rikorrenti li individwalment ma jitqisux bħala inċident kbir f’konformità mal-paragrafu 1 għandhom jitqiesu bħala inċident wieħed kbir meta jissodisfaw il-kundizzjonijiet kollha li ġejjin:
(a) |
ikunu seħħew mill-inqas darbtejn fi żmien 6 xhur; |
(b) |
ikollhom l-istess kawża ewlenija apparenti kif imsemmi fl-Artikolu 20, l-ewwel paragrafu, il-punt (b) tar-Regolament (UE) 2022/2554; |
(c) |
kollettivament jissodisfaw il-kriterji biex jitqiesu bħala inċident kbir stabbiliti fl-Artikolu 1. |
L-entitajiet finanzjarji għandhom jivvalutaw l-eżistenza ta’ inċidenti rikorrenti fuq bażi ta’ kull xahar.
Dan il-paragrafu ma japplikax għall-mikrointrapriżi u għall-entitajiet finanzjarji elenkati fl-Artikolu 16(1) tar-Regolament (UE) 2022/2554.
Artikolu 9
Livelli limitu ta’ materjalità għad-determinazzjoni ta’ inċidenti kbar
1. Il-livell limitu ta’ materjalità għall-kriterju “klijenti, kontropartijiet finanzjarji u tranżazzjonijiet” jintlaħaq meta tiġi ssodisfata kwalunkwe waħda mill-kundizzjonijiet li ġejjin:
(a) |
l-għadd ta’ klijenti affettwati jkun ogħla minn 10 % tal-klijenti kollha li jużaw is-servizz affettwat; |
(b) |
l-għadd ta’ klijenti affettwati li jużaw is-servizz affettwat ikun ogħla minn 100 000; |
(c) |
l-għadd ta’ kontropartijiet finanzjarji affettwati jkun ogħla minn 30 % tal-kontropartijiet finanzjarji kollha li jwettqu attivitajiet relatati mal-forniment tas-servizz affettwat; |
(d) |
l-għadd ta’ tranżazzjonijiet affettwati jkun ogħla minn 10 % tal-għadd medju ta’ kuljum ta’ tranżazzjonijiet imwettqa mill-entità finanzjarja relatata mas-servizz affettwat; |
(e) |
l-ammont ta’ tranżazzjonijiet affettwati jkun ogħla minn 10 % tal-valur medju ta’ kuljum tat-tranżazzjonijiet imwettqa mill-entità finanzjarja relatata mas-servizz affettwat; |
(f) |
il-klijenti jew il-kontropartijiet finanzjarji li ġew identifikati bħala rilevanti f’konformità mal-Artikolu 1(3) ikunu ġew affettwati. |
Meta l-għadd reali ta’ klijenti jew kontropartijiet finanzjarji affettwati jew l-għadd attwali jew l-ammont ta’ tranżazzjonijiet affettwati ma jkunx jista’ jiġi ddeterminat, l-entità finanzjarja għandha tistma dawk in-numri jew ammonti abbażi tad-data disponibbli minn perjodi ta’ referenza komparabbli.
2. Il-livell limitu ta’ materjalità għall-kriterju “impatt fuq ir-reputazzjoni” jintlaħaq meta tiġi ssodisfata kwalunkwe waħda mill-kundizzjonijiet stabbiliti fl-Artikolu 2, il-punti minn (a) sa (d).
3. Il-livell limitu ta’ materjalità għall-kriterju “iż-żmien kemm dam l-inċident u kemm dam maqtugħ is-servizz” jintlaħaq meta tiġi ssodisfata kwalunkwe waħda mill-kundizzjonijiet li ġejjin:
(a) |
iż-żmien kemm dam l-inċident ikun itwal minn 24 siegħa; |
(b) |
il-perjodu ta’ qtugħ tas-servizz ikun itwal minn sagħtejn għas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti. |
4. Il-livell limitu ta’ materjalità għall-kriterju “firxa ġeografika” jiġi ssodisfat meta l-inċident ikollu impatt f’żewġ Stati Membri jew aktar f’konformità mal-Artikolu 4.
5. Il-livell limitu ta’ materjalità għall-kriterju “telf tad-data ” jintlaħaq meta tiġi ssodisfata kwalunkwe waħda mill-kundizzjonijiet li ġejjin:
(a) |
kwalunkwe impatt kif imsemmi fl-Artikolu 5 fuq id-disponibbiltà, l-awtentiċità, l-integrità jew il-kunfidenzjalità tad-data għandu jew se jkollu impatt negattiv fuq l-implimentazzjoni tal-objettivi tan-negozju tal-entità finanzjarja jew fuq il-kapaċità tagħha li tissodisfa r-rekwiżiti regolatorji; |
(b) |
kwalunkwe aċċess li jirnexxi, malizzjuż u mhux awtorizzat mhux kopert mill-punt (a) iseħħ għan-network u għas-sistemi tal-informazzjoni, fejn tali aċċess jista’ jirriżulta f’telf tad-data. |
6. Il-livell limitu ta’ materjalità għall-kriterju “impatt ekonomiku” jiġi ssodisfat meta l-kostijiet u t-telf imġarrbin mill-entità finanzjarja minħabba l-inċident ikunu qabżu jew aktarx li jaqbżu l-EUR 100 000.
KAPITOLU III
THEDDID ĊIBERNETIKU SINIFIKANTI
Artikolu 10
Livelli limitu għolja ta’ materjalità għad-determinazzjoni ta’ theddid ċibernetiku sinifikanti
Għall-finijiet tal-Artikolu 18(2) tar-Regolament (UE) 2022/2554, theddida ċibernetika għandha titqies sinifikanti meta jiġu ssodisfati l-kundizzjonijiet kollha li ġejjin:
(a) |
it-theddida ċibernetika, jekk timmaterjalizza, tista’ taffettwa jew setgħet affettwat funzjonijiet kritiċi jew importanti tal-entità finanzjarja, jew tista’ taffettwa entitajiet finanzjarji oħra, fornituri terzi, klijenti jew kontropartijiet finanzjarji, abbażi tal-informazzjoni disponibbli għall-entità finanzjarja; |
(b) |
it-theddida ċibernetika jkollha probabbiltà għolja ta’ materjalizzazzjoni fl-entità finanzjarja jew f’entitajiet finanzjarji oħra, filwaqt li jitqiesu mill-inqas l-elementi li ġejjin:
|
(c) |
it-theddida ċibernetika tista’, jekk timmaterjalizza, tissodisfa kwalunkwe waħda minn dawn li ġejjin:
|
Meta, skont it-tip ta’ theddida ċibernetika u l-informazzjoni disponibbli, l-entità finanzjarja tikkonkludi li l-livelli limitu ta’ materjalità stabbiliti fl-Artikolu 9(2), (3), (5) u (6) jistgħu jintlaħqu, dawk il-livelli limitu jistgħu jiġu kkunsidrati wkoll.
KAPITOLU IV
RILEVANZA TA’ INĊIDENTI KBAR GĦALL-AWTORITAJIET KOMPETENTI FI STATI MEMBRI OĦRA U D-DETTALJI TAR-RAPPORTI LI GĦANDHOM JIĠU KONDIVIŻI MA’ AWTORITAJIET KOMPETENTI OĦRA
Artikolu 11
Rilevanza ta’ inċidenti kbar għall-awtoritajiet kompetenti fi Stati Membri oħra
Il-valutazzjoni ta’ jekk l-inċident kbir huwiex rilevanti għall-awtoritajiet kompetenti fi Stati Membri oħra kif imsemmi fl-Artikolu 19(7) tar-Regolament (UE) 2022/2554 għandha tkun ibbażata fuq jekk l-inċident għandux kawża ewlenija li toriġina minn Stat Membru ieħor jew jekk l-inċident għandux jew kellux impatt sinifikanti fi Stat Membru ieħor fir-rigward ta’ kwalunkwe wieħed minn dawn li ġejjin:
(a) |
klijenti jew kontropartijiet finanzjarji; |
(b) |
fergħa tal-entità finanzjarja jew entità finanzjarja oħra fil-grupp; |
(c) |
infrastruttura tas-suq finanzjarju jew fornitur terz li jista’ jaffettwa entitajiet finanzjarji li lilhom jipprovdu servizzi. |
Artikolu 12
Dettalji ta’ inċidenti kbar li għandhom jiġu kondiviżi ma’ awtoritajiet kompetenti oħra
Id-dettalji ta’ inċidenti kbar li għandhom jiġu ppreżentati mill-awtoritajiet kompetenti lil awtoritajiet kompetenti oħra f’konformità mal-Artikolu 19(6) tar-Regolament (UE) 2022/2554 u n-notifiki li għandhom jiġu ppreżentati mill-EBA, l-ESMA jew l-EIOPA u l-BĊE lill-awtoritajiet kompetenti rilevanti fi Stati Membri oħra f’konformità mal-Artikolu 19(7) ta’ dak ir-Regolament għandu jkun fihom l-istess livell ta’ informazzjoni, mingħajr ebda anonimizzazzjoni, bħan-notifiki u r-rapporti ta’ inċidenti kbar riċevuti minn entitajiet finanzjarji f’konformità mal-Artikolu 19(4) tar-Regolament (UE) 2022/2554.
KAPITOLU V
DISPOŻIZZJONIJIET FINALI
Artikolu 13
Dħul fis-seħħ
Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.
Magħmul fi Brussell, it-13 ta’ Marzu 2024.
Għall-Kummissjoni
Il-President
Ursula VON DER LEYEN
(1) ĠU L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Id-Direttiva (UE) 2015/2366 tal-Parlament Ewropew u tal-Kunsill tal-25 ta’ Novembru 2015 dwar is-servizzi ta’ pagament fis-suq intern, li temenda d-Direttivi 2002/65/KE, 2009/110/KE u 2013/36/UE u r-Regolament (UE) Nru 1093/2010, u li tħassar id-Direttiva 2007/64/KE (ĠU L 337, 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).
(3) Ir-Regolament Delegat tal-Kummissjoni (UE) 2018/959 tal-14 ta’ Marzu 2018 li jissupplimenta r-Regolament (UE) Nru 575/2013 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-ispeċifikazzjoni tal-metodoloġija ta’ valutazzjoni li skont liema l-awtoritajiet kompetenti jippermettu lill-istituzzjonijiet jużaw Approċċi ta’ Kejl Avvanzat għar-riskju operazzjonali (ĠU L 169, 6.7.2018, p. 1, ELI: http://data.europa.eu/eli/reg_del/2018/959/oj).
(4) Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5) Id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Lulju 2002 dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika) (ĠU L 201, 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(6) Ir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/78/KE (ĠU L 331, 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(7) Ir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol), u li jemenda d-Deċiżjoni Nru 716/2009/KE u li jħassar id-Deċiżjoni tal-Kummissjoni 2009/79/KE (ĠU L 331, 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(8) Ir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/77/KE (ĠU L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(9) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj
ISSN 1977-074X (electronic edition)