(1)

Sabiex jiġu żgurati l-armonizzazzjoni u s-simplifikazzjoni tar-rekwiżiti ta’ notifika u rapportar għal inċidenti kbar relatati mal-ICT imsemmija fl-Artikolu 19(4) tar-Regolament (UE) 2022/2554, il-limiti ta’ żmien għar-rapportar ta’ inċidenti kbar relatati mal-ICT jenħtieġ li jsegwu approċċ konsistenti għat-tipi kollha ta’ entitajiet finanzjarji. Għal dawn ir-raġunijiet, il-limiti ta’ żmien jenħtieġ li jsegwu wkoll, kemm jista’ jkun, approċċ konsistenti mar-rekwiżiti stabbiliti fid-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill (2), u tal-anqas ikunu ekwivalenti għalihom f’dak li jirrigwarda l-effett.

(2)

Sabiex tiġi evitata l-impożizzjoni ta’ piż mhux dovut ta’ rapportar fuq l-entitajiet finanzjarji fi żmien meta jkunu qed jittrattaw inċident relatat mal-ICT, il-kontenut tan-notifika inizjali jenħtieġ li jkun limitat għall-aktar informazzjoni sinifikanti. Sabiex ikunu jistgħu jieħdu azzjoni superviżorja xierqa, l-awtoritajiet kompetenti jeħtieġ li jirċievu informazzjoni dwar inċidenti kbar relatati mal-ICT malajr kemm jista’ jkun wara li l-entità finanzjarja tkun ikklassifikat inċident relatat mal-ICT bħala kbir. Konsegwentement, il-limitu ta’ żmien għas-sottomissjoni ta’ notifika inizjali kif imsemmi fl-Artikolu 19(4), il-punt (a), tar-Regolament (UE) 2022/2554 jenħtieġ li jkun qasir kemm jista’ jkun wara li inċident relatat mal-ICT ikun ġie kklassifikat bħala kbir, filwaqt li xorta jippermetti flessibbiltà, speċjalment għal mudelli ta’ negozju tas-servizzi li ż-żmien mhux partikolarment kritiku għalihom, f’każ li l-entitajiet finanzjarji jeħtieġu aktar żmien biex jittrattaw l-inċident relatat mal-ICT wara li jsiru konxji minnu.

(3)

Wara li jkunu rċevew in-notifika inizjali, l-awtoritajiet kompetenti jenħtieġ li jirċievu informazzjoni aktar dettaljata dwar l-inċident relatat mal-ICT fir-rapport intermedju u l-informazzjoni rilevanti kollha fir-rapport finali. L-informazzjoni f’dawk ir-rapporti jenħtieġ li tippermetti lill-awtoritajiet kompetenti jivvalutaw aktar l-inċident relatat mal-ICT u jevalwaw l-azzjonijiet superviżorji li jistgħu jkunu jridu jieħdu.

(4)

Il-limiti ta’ żmien għar-rapportar imsemmija fl-Artikolu 20, l-ewwel paragrafu, il-punt (a)(ii), tar-Regolament (UE) 2022/2554 jenħtieġ li għalhekk jżommu bilanċ bejn il-ħtieġa li l-awtoritajiet kompetenti jirċievu l-informazzjoni malajr u l-ħtieġa li l-entitajiet finanzjarji jingħataw biżżejjed żmien biex jiksbu informazzjoni kompluta u preċiża.

(5)

Filwaqt li jitqiesu l-kriterji stabbiliti fl-Artikolu 20, l-ewwel paragrafu, il-punt (a), tar-Regolament (UE) 2022/2554, l-iskedi ta’ żmien tar-rapportar jenħtieġ li ma joħolqux piż sproporzjonat għall-mikrointrapriżi u għal entitajiet finanzjarji oħra mhux ta’ daqs sinifikanti. Barra minn hekk, biex jiġi evitat piż sproporzjonat fuq l-entitajiet finanzjarji, il-limiti ta’ żmien għar-rapportar jenħtieġ li jqisu tmiem il-ġimgħat u l-vaganzi bankarji.

(6)

Peress li t-theddid ċibernetiku sinifikanti għandu jiġi nnotifikat fuq bażi volontarja, il-kontenut ta’ tali notifiki jenħtieġ li ma jimponix piż fuq l-entitajiet finanzjarji u jenħtieġ li jkun aktar limitat mill-informazzjoni mitluba għal inċidenti kbar relatati mal-ICT.

(7)

Dan ir-Regolament huwa bbażat fuq l-abbozz tal-istandards tekniċi regolatorji ppreżentat lill-Kummissjoni mill-Awtoritajiet Superviżorji Ewropej.

(8)

L-Awtoritajiet Superviżorji Ewropej wettqu konsultazzjonijiet pubbliċi miftuħa dwar l-abbozz tal-istandards tekniċi regolatorji li fuqhom huwa bbażat dan ir-Regolament, analizzaw il-kostijiet u l-benefiċċji relatati potenzjali u talbu l-parir tal-Gruppi tal-Partijiet Ikkonċernati stabbilit f’konformità mal-Artikolu 37 tar-Regolamenti (UE) Nru 1093/2010 (3), (UE) Nru 1094/2010 (4), u (UE) Nru 1095/2010 (5) tal-Parlament Ewropew u tal-Kunsill.

(9)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (6) u ta opinjoni pożittiva fit-22 ta’ Lulju 2024. Kwalunkwe pproċessar ta’ data personali fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament jenħtieġ li jitwettaq f’konformità mal-prinċipji u mad-dispożizzjonijiet applikabbli tal-protezzjoni tad-data tar-Regolament (UE) 2018/1725,

(a)

x’tip ta’ sottomissjoni hija (notifika inizjali, rapport intermedju, jew rapport finali);

(b)

l-isem tal-entità finanzjarja, il-kodiċi LEI tagħha u t-tip ta’ entità finanzjarja, kif msemmi fl-Artikolu 2(1) tar-Regolament (UE) 2022/2554;

(c)

l-isem u l-kodiċi ta’ identifikazzjoni tal-entità li tissottometti n-notifika inizjali, jew ir-rapport intermedju jew finali, għall-entità finanzjarja;

(d)

fejn applikabbli, l-ismijiet u l-kodiċijiet LEI tal-entitajiet finanzjarji kollha koperti fin-notifika inizjali aggregata jew fir-rapport intermedju jew finali;

(e)

id-dettalji ta’ kuntatt tal-persuni responsabbli mill-komunikazzjoni mal-awtorità kompetenti dwar l-inċident kbir relatat mal-ICT;

(f)

fejn applikabbli, l-identifikazzjoni tal-impriża prinċipali tal-grupp li għalih tappartjeni l-entità finanzjarja;

(g)

fejn ikun hemm impatt monetarju, il-munita li fuqha huma bbażati l-ammonti.

(a)

il-kodiċi ta’ referenza tal-inċident assenjat mill-entità finanzjarja;

(b)

id-data tad-detezzjoni, il-ħin tad-detezzjoni, u l-klassifikazzjoni tal-inċident skont l-Artikolu 8 tar-Regolament Delegat tal-Kummissjoni (UE) 2024/1772 (7);

(c)

deskrizzjoni tal-inċident relatat mal-ICT;

(d)

il-kriterji, stabbiliti fl-Artikoli minn 1 sa 8 tar-Regolament Delegat (UE) 2024/1772, li abbażi tagħhom l-entità finanzjarja kklassifikat l-inċident relatat mal-ICT bħala kbir;

(e)

l-Istati Membri li huma affettwati mill-inċident relatat mal-ICT;

(f)

informazzjoni dwar kif instab l-inċident relatat mal-ICT;

(g)

fejn disponibbli, informazzjoni dwar l-oriġini tal-inċident relatat mal-ICT;

(h)

informazzjoni dwar jekk l-entità finanzjarja tkunx attivat pjan għall-kontinwità tal-operat;

(i)

fejn applikabbli, informazzjoni dwar ir-riklassifikazzjoni tal-inċident relatat mal-ICT minn kbir għal mhux kbir;

(j)

fejn disponibbli, kwalunkwe informazzjoni rilevanti oħra.

(a)

fejn applikabbli, il-kodiċi ta’ referenza tal-inċident ipprovdut mill-awtorità kompetenti;

(b)

id-data u l-ħin tal-okkorrenza tal-inċident relatat mal-ICT;

(c)

fejn applikabbli, id-data u l-ħin meta l-entità finanzjarja tkun irkuprat l-attivitajiet regolari tagħha;

(d)

informazzjoni dwar kif il-kriterji, stabbiliti fl-Artikoli minn 1 sa 8 tar-Regolament Delegat (UE) 2024/1772 ġew issodisfati, u li abbażi tagħhom l-entità finanzjarja kklassifikat l-inċident relatat mal-ICT bħala kbir;

(e)

it-tip ta’ inċident relatat mal-ICT;

(f)

fejn applikabbli, it-theddidiet u t-tekniki użati mill-attur tat-theddidiet;

(g)

l-oqsma funzjonali u l-proċessi tan-negozju affettwati;

(h)

il-komponenti tal-infrastruttura affettwati li jappoġġaw il-proċessi tan-negozju;

(i)

l-impatt fuq l-interess finanzjarju tal-klijenti;

(j)

informazzjoni marbuta mar-rappurtar dwar l-inċident relatat mal-ICT lil awtoritajiet oħra;

(k)

azzjonijiet jew miżuri temporanji meħuda jew ippjanati li jittieħdu mill-entità finanzjarja biex tirkupra mill-inċident relatat mal-ICT;

(l)

fejn applikabbli, informazzjoni dwar indikaturi ta’ kompromess.

(a)

informazzjoni dwar il-kawżi ewlenin tal-inċident relatat mal-ICT;

(b)

id-dati u l-ħinijiet meta ġie solvut l-inċident relatat mal-ICT u l-kawża/i ewlenija/ewlenin indirizzata/i;

(c)

informazzjoni dwar is-soluzzjoni tal-inċident relatat mal-ICT;

(d)

fejn applikabbli, informazzjoni rilevanti għall-awtoritajiet tar-riżoluzzjoni;

(e)

informazzjoni dwar il-kostijiet u t-telf diretti u indiretti li jirriżultaw mill-inċident relatat mal-ICT u informazzjoni dwar l-irkupri finanzjarji;

(f)

fejn applikabbli, informazzjoni dwar inċidenti relatati mal-ICT rikorrenti.

(a)

informazzjoni ġenerali dwar l-entità finanzjarja notifikanti kif stabbilit fl-Artikolu 1;

(b)

id-data u l-ħin tad-detezzjoni tat-theddida ċibernetika sinifikanti u kwalunkwe kronogramma rilevanti oħra relatata mat-theddida ċibernetika sinifikanti;

(c)

deskrizzjoni tat-theddida ċibernetika sinifikanti;

(d)

informazzjoni dwar l-impatt potenzjali tat-theddida ċibernetika sinifikanti fuq l-entità finanzjarja, il-klijenti tagħha, jew il-kontropartijiet finanzjarji;

(e)

il-kriterji ta’ klassifikazzjoni, li kienu jiskattaw ir-rapport ta’ inċident kbir, stabbiliti fl-Artikoli minn 1 sa 8 tar-Regolament Delegat (UE) 2024/1772 li kieku t-theddida ċibernetika seħħet;

(f)

informazzjoni dwar l-istatus tat-theddida ċibernetika sinifikanti u kwalunkwe bidla fl-attività tat-theddida;

(g)

fejn applikabbli, deskrizzjoni tal-azzjonijiet meħuda mill-entità finanzjarja biex tipprevjeni milli jseħħu theddidiet ċibernetiku sinifikanti;

(h)

informazzjoni dwar kwalunkwe notifika tat-theddida ċibernetika sinifikanti lil entitajiet jew awtoritajiet finanzjarji oħra;

(i)

fejn applikabbli, informazzjoni dwar indikaturi ta’ kompromess;

(j)

fejn disponibbli, kwalunkwe informazzjoni rilevanti oħra.