REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2025/301

tat-23 ta’ Ottubru 2024

li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-istandards tekniċi regolatorji li jispeċifikaw il-kontenut u l-limiti ta’ żmien għan-notifika inizjali ta’ inċidenti kbar relatati mal-ICT, u r-rapport intermedju u dak finali dwarhom, u l-kontenut tan-notifika volontarja għal theddid ċibernetiku sinifikanti

(Test b’rilevanza għaż-ŻEE)

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (1), u b’mod partikolari l-Artikolu 20, it-tielet subparagrafu tiegħu,

Billi:

(1)

Sabiex jiġu żgurati l-armonizzazzjoni u s-simplifikazzjoni tar-rekwiżiti ta’ notifika u rapportar għal inċidenti kbar relatati mal-ICT imsemmija fl-Artikolu 19(4) tar-Regolament (UE) 2022/2554, il-limiti ta’ żmien għar-rapportar ta’ inċidenti kbar relatati mal-ICT jenħtieġ li jsegwu approċċ konsistenti għat-tipi kollha ta’ entitajiet finanzjarji. Għal dawn ir-raġunijiet, il-limiti ta’ żmien jenħtieġ li jsegwu wkoll, kemm jista’ jkun, approċċ konsistenti mar-rekwiżiti stabbiliti fid-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill (2), u tal-anqas ikunu ekwivalenti għalihom f’dak li jirrigwarda l-effett.

(2)

Sabiex tiġi evitata l-impożizzjoni ta’ piż mhux dovut ta’ rapportar fuq l-entitajiet finanzjarji fi żmien meta jkunu qed jittrattaw inċident relatat mal-ICT, il-kontenut tan-notifika inizjali jenħtieġ li jkun limitat għall-aktar informazzjoni sinifikanti. Sabiex ikunu jistgħu jieħdu azzjoni superviżorja xierqa, l-awtoritajiet kompetenti jeħtieġ li jirċievu informazzjoni dwar inċidenti kbar relatati mal-ICT malajr kemm jista’ jkun wara li l-entità finanzjarja tkun ikklassifikat inċident relatat mal-ICT bħala kbir. Konsegwentement, il-limitu ta’ żmien għas-sottomissjoni ta’ notifika inizjali kif imsemmi fl-Artikolu 19(4), il-punt (a), tar-Regolament (UE) 2022/2554 jenħtieġ li jkun qasir kemm jista’ jkun wara li inċident relatat mal-ICT ikun ġie kklassifikat bħala kbir, filwaqt li xorta jippermetti flessibbiltà, speċjalment għal mudelli ta’ negozju tas-servizzi li ż-żmien mhux partikolarment kritiku għalihom, f’każ li l-entitajiet finanzjarji jeħtieġu aktar żmien biex jittrattaw l-inċident relatat mal-ICT wara li jsiru konxji minnu.

(3)

Wara li jkunu rċevew in-notifika inizjali, l-awtoritajiet kompetenti jenħtieġ li jirċievu informazzjoni aktar dettaljata dwar l-inċident relatat mal-ICT fir-rapport intermedju u l-informazzjoni rilevanti kollha fir-rapport finali. L-informazzjoni f’dawk ir-rapporti jenħtieġ li tippermetti lill-awtoritajiet kompetenti jivvalutaw aktar l-inċident relatat mal-ICT u jevalwaw l-azzjonijiet superviżorji li jistgħu jkunu jridu jieħdu.

(4)

Il-limiti ta’ żmien għar-rapportar imsemmija fl-Artikolu 20, l-ewwel paragrafu, il-punt (a)(ii), tar-Regolament (UE) 2022/2554 jenħtieġ li għalhekk jżommu bilanċ bejn il-ħtieġa li l-awtoritajiet kompetenti jirċievu l-informazzjoni malajr u l-ħtieġa li l-entitajiet finanzjarji jingħataw biżżejjed żmien biex jiksbu informazzjoni kompluta u preċiża.

(5)

Filwaqt li jitqiesu l-kriterji stabbiliti fl-Artikolu 20, l-ewwel paragrafu, il-punt (a), tar-Regolament (UE) 2022/2554, l-iskedi ta’ żmien tar-rapportar jenħtieġ li ma joħolqux piż sproporzjonat għall-mikrointrapriżi u għal entitajiet finanzjarji oħra mhux ta’ daqs sinifikanti. Barra minn hekk, biex jiġi evitat piż sproporzjonat fuq l-entitajiet finanzjarji, il-limiti ta’ żmien għar-rapportar jenħtieġ li jqisu tmiem il-ġimgħat u l-vaganzi bankarji.

(6)	Peress li t-theddid ċibernetiku sinifikanti għandu jiġi nnotifikat fuq bażi volontarja, il-kontenut ta’ tali notifiki jenħtieġ li ma jimponix piż fuq l-entitajiet finanzjarji u jenħtieġ li jkun aktar limitat mill-informazzjoni mitluba għal inċidenti kbar relatati mal-ICT.

(7)	Dan ir-Regolament huwa bbażat fuq l-abbozz tal-istandards tekniċi regolatorji ppreżentat lill-Kummissjoni mill-Awtoritajiet Superviżorji Ewropej.

(8)

L-Awtoritajiet Superviżorji Ewropej wettqu konsultazzjonijiet pubbliċi miftuħa dwar l-abbozz tal-istandards tekniċi regolatorji li fuqhom huwa bbażat dan ir-Regolament, analizzaw il-kostijiet u l-benefiċċji relatati potenzjali u talbu l-parir tal-Gruppi tal-Partijiet Ikkonċernati stabbilit f’konformità mal-Artikolu 37 tar-Regolamenti (UE) Nru 1093/2010 (3), (UE) Nru 1094/2010 (4), u (UE) Nru 1095/2010 (5) tal-Parlament Ewropew u tal-Kunsill.

(9)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (6) u ta opinjoni pożittiva fit-22 ta’ Lulju 2024. Kwalunkwe pproċessar ta’ data personali fil-kamp ta’ applikazzjoni ta’ dan ir-Regolament jenħtieġ li jitwettaq f’konformità mal-prinċipji u mad-dispożizzjonijiet applikabbli tal-protezzjoni tad-data tar-Regolament (UE) 2018/1725,

ADOTTAT DAN IR-REGOLAMENT:

Artikolu 1

Informazzjoni ġenerali li għandha tiġi pprovduta fin-notifiki inizjali u fir-rapporti intermedji u finali dwar inċidenti kbar relatati mal-ICT

L-entitajiet finanzjarji għandhom jinkludu fin-notifika inizjali, fir-rapport intermedju u fir-rapport finali, kif msemmi fl-Artikolu 19(4) tar-Regolament (UE) 2022/2554, din l-informazzjoni ġenerali:

(a)	x’tip ta’ sottomissjoni hija (notifika inizjali, rapport intermedju, jew rapport finali);

(b)	l-isem tal-entità finanzjarja, il-kodiċi LEI tagħha u t-tip ta’ entità finanzjarja, kif msemmi fl-Artikolu 2(1) tar-Regolament (UE) 2022/2554;

(c)	l-isem u l-kodiċi ta’ identifikazzjoni tal-entità li tissottometti n-notifika inizjali, jew ir-rapport intermedju jew finali, għall-entità finanzjarja;

(d)	fejn applikabbli, l-ismijiet u l-kodiċijiet LEI tal-entitajiet finanzjarji kollha koperti fin-notifika inizjali aggregata jew fir-rapport intermedju jew finali;

(e)	id-dettalji ta’ kuntatt tal-persuni responsabbli mill-komunikazzjoni mal-awtorità kompetenti dwar l-inċident kbir relatat mal-ICT;

(f)	fejn applikabbli, l-identifikazzjoni tal-impriża prinċipali tal-grupp li għalih tappartjeni l-entità finanzjarja;

(g)	fejn ikun hemm impatt monetarju, il-munita li fuqha huma bbażati l-ammonti.

Artikolu 2

Informazzjoni speċifika li għandha tiġi pprovduta fin-notifiki inizjali

In-notifiki inizjali kif imsemmija fl-Artikolu 19(4), il-punt (a), tar-Regolament (UE) 2022/2554 għandu jkun fihom mill-inqas l-informazzjoni speċifika kollha li ġejja:

(a)	il-kodiċi ta’ referenza tal-inċident assenjat mill-entità finanzjarja;

(b)	id-data tad-detezzjoni, il-ħin tad-detezzjoni, u l-klassifikazzjoni tal-inċident skont l-Artikolu 8 tar-Regolament Delegat tal-Kummissjoni (UE) 2024/1772 (7);

(c)	deskrizzjoni tal-inċident relatat mal-ICT;

(d)	il-kriterji, stabbiliti fl-Artikoli minn 1 sa 8 tar-Regolament Delegat (UE) 2024/1772, li abbażi tagħhom l-entità finanzjarja kklassifikat l-inċident relatat mal-ICT bħala kbir;

(e)	l-Istati Membri li huma affettwati mill-inċident relatat mal-ICT;

(f)	informazzjoni dwar kif instab l-inċident relatat mal-ICT;

(g)	fejn disponibbli, informazzjoni dwar l-oriġini tal-inċident relatat mal-ICT;

(h)	informazzjoni dwar jekk l-entità finanzjarja tkunx attivat pjan għall-kontinwità tal-operat;

(i)	fejn applikabbli, informazzjoni dwar ir-riklassifikazzjoni tal-inċident relatat mal-ICT minn kbir għal mhux kbir;

(j)	fejn disponibbli, kwalunkwe informazzjoni rilevanti oħra.

Artikolu 3

Informazzjoni speċifika li għandha tiġi pprovduta fir-rapporti intermedji

Ir-rapporti intermedji kif imsemmi fl-Artikolu 19(4), il-punt (b), tar-Regolament (UE) 2022/2554 għandu jkun fihom mill-inqas l-informazzjoni speċifika kollha li ġejja:

(a)	fejn applikabbli, il-kodiċi ta’ referenza tal-inċident ipprovdut mill-awtorità kompetenti;

(b)	id-data u l-ħin tal-okkorrenza tal-inċident relatat mal-ICT;

(c)	fejn applikabbli, id-data u l-ħin meta l-entità finanzjarja tkun irkuprat l-attivitajiet regolari tagħha;

(d)	informazzjoni dwar kif il-kriterji, stabbiliti fl-Artikoli minn 1 sa 8 tar-Regolament Delegat (UE) 2024/1772 ġew issodisfati, u li abbażi tagħhom l-entità finanzjarja kklassifikat l-inċident relatat mal-ICT bħala kbir;

(e)	it-tip ta’ inċident relatat mal-ICT;

(f)	fejn applikabbli, it-theddidiet u t-tekniki użati mill-attur tat-theddidiet;

(g)	l-oqsma funzjonali u l-proċessi tan-negozju affettwati;

(h)	il-komponenti tal-infrastruttura affettwati li jappoġġaw il-proċessi tan-negozju;

(i)	l-impatt fuq l-interess finanzjarju tal-klijenti;

(j)	informazzjoni marbuta mar-rappurtar dwar l-inċident relatat mal-ICT lil awtoritajiet oħra;

(k)	azzjonijiet jew miżuri temporanji meħuda jew ippjanati li jittieħdu mill-entità finanzjarja biex tirkupra mill-inċident relatat mal-ICT;

(l)	fejn applikabbli, informazzjoni dwar indikaturi ta’ kompromess.

Artikolu 4

Informazzjoni speċifika dwar l-Artikolu li għandha tiġi pprovduta fir-rapporti finali

Ir-rapporti finali kif imsemmi fl-Artikolu 19(4), il-punt (c), tar-Regolament (UE) 2022/2554 għandu jkun fihom l-informazzjoni speċifika kollha li ġejja:

(a)	informazzjoni dwar il-kawżi ewlenin tal-inċident relatat mal-ICT;

(b)	id-dati u l-ħinijiet meta ġie solvut l-inċident relatat mal-ICT u l-kawża/i ewlenija/ewlenin indirizzata/i;

(c)	informazzjoni dwar is-soluzzjoni tal-inċident relatat mal-ICT;

(d)	fejn applikabbli, informazzjoni rilevanti għall-awtoritajiet tar-riżoluzzjoni;

(e)	informazzjoni dwar il-kostijiet u t-telf diretti u indiretti li jirriżultaw mill-inċident relatat mal-ICT u informazzjoni dwar l-irkupri finanzjarji;

(f)	fejn applikabbli, informazzjoni dwar inċidenti relatati mal-ICT rikorrenti.

Artikolu 5

Limiti ta’ żmien għan-notifika inizjali, u għar-rapporti intermedji u finali

1. L-entitajiet finanzjarji għandhom jissottomettu n-notifika inizjali u r-rapporti intermedji u finali kif imsemmi fl-Artikolu 19(4), il-punti (a), (b) u (c), tar-Regolament (UE) 2022/2554 fil-limiti ta’ żmien li ġejjin:

(a)	għar-rapport inizjali: kmieni kemm jista’ jkun, iżda fi kwalunkwe każ, fi żmien erba’ sigħat mill-klassifikazzjoni tal-inċident relatat mal-ICT bħala inċident kbir relatat mal-ICT u mhux aktar tard minn 24 siegħa mill-mument li l-entità finanzjarja tkun saret konxja tal-inċident relatat mal-ICT;

(b)

għar-rapport intermedju: mhux aktar tard minn 72 siegħa mis-sottomissjoni tan-notifika inizjali, anki meta l-istatus jew it-trattament tal-inċident ma jkunux inbidlu kif imsemmi fl-Artikolu 19(4), il-punt (b), tar-Regolament (UE) 2022/2554. L-entitajiet finanzjarji għandhom jissottomettu rapport intermedju aġġornat mingħajr dewmien żejjed, u fi kwalunkwe każ wara li jkunu ġew irkuprati l-attivitajiet regolari;

(c)	għar-rapport finali: mhux aktar tard minn xahar wara s-sottomissjoni tar-rapport intermedju, jew, fejn applikabbli, wara l-aħħar rapport intermedju aġġornat.

2. Meta l-entità finanzjarja ma tkunx ikklassifikat inċident relatat mal-ICT bħala kbir fi żmien 24 siegħa mill-mument li fih l-entità finanzjarja tkun saret taf bl-inċident relatat mal-ICT iżda tikklassifika dak l-inċident relatat mal-ICT bħala kbir fi stadju aktar tard, l-entità finanzjarja għandha tippreżenta n-notifika inizjali fi żmien erba’ sigħat mill-klassifikazzjoni tal-inċident relatat mal-ICT bħala inċident kbir.

3. L-entitajiet finanzjarji li ma jkunux jistgħu jissottomettu n-notifika inizjali, ir-rapport intermedju, jew ir-rapport finali fil-limiti ta’ żmien stabbiliti fil-paragrafu 1, għandhom jinfurmaw lill-awtorità kompetenti b’dan mingħajr dewmien żejjed, iżda mhux aktar tard mil-limiti ta’ żmien rispettivi għas-sottomissjoni tan-notifika jew tar-rapport, u għandhom jispjegaw ir-raġunijiet għad-dewmien.

4. Meta l-limitu ta’ żmien għas-sottomissjoni ta’ notifika inizjali, rapport intermedju, jew rapport finali jaqa’ fi tmiem il-ġimgħa jew festa pubblika fl-Istat Membru tal-entità finanzjarja relatriċi, l-entità finanzjarja tista’ tissottometti n-notifika inizjali, ir-rapporti intermedji jew finali sa nofsinhar tal-jum tax-xogħol li jmiss.

5. Il-paragrafu 4 ma għandux japplika għas-sottomissjoni ta’ notifika inizjali jew rapport intermedju minn istituzzjonijiet ta’ kreditu, kontropartijiet ċentrali, operaturi ta’ ċentri tan-negozjar, u entitajiet finanzjarji oħra identifikati bħala entitajiet essenzjali jew importanti skont l-Artikolu 3 tad-Direttiva (UE) 2022/2555.

6. L-awtoritajiet kompetenti jistgħu jiddeċiedu li l-paragrafu 4 ma għandux japplika għas-sottomissjoni ta’ notifika inizjali jew ta’ rapport intermedju mill-entitajiet finanzjarji, għajr dawk imsemmija fil-paragrafu 5, li huma sinifikanti jew li għandhom karattru sistemiku għas-settur finanzjarju fil-livell nazzjonali jew tal-Unjoni. L-awtoritajiet kompetenti għandhom jinnotifikaw id-deċiżjoni tagħhom lill-entitajiet finanzjarji identifikati. Id-Deċiżjoni tal-awtorità kompetenti għandha tapplika biss fir-rigward ta’ inċidenti rrapportati wara d-data tan-notifika tad-deċiżjoni mill-awtorità kompetenti lill-entitajiet finanzjarji identifikati.

Artikolu 6

Il-kontenut ta’ notifika volontarja dwar theddid ċibernetiku sinifikanti

Il-kontenut ta’ notifika volontarja dwar theddid ċibernetiku sinifikanti kif imsemmi fl-Artikolu 19(2) tar-Regolament (UE) 2022/2554 għandu jkopri dan kollu li ġej:

(a)	informazzjoni ġenerali dwar l-entità finanzjarja notifikanti kif stabbilit fl-Artikolu 1;

(b)	id-data u l-ħin tad-detezzjoni tat-theddida ċibernetika sinifikanti u kwalunkwe kronogramma rilevanti oħra relatata mat-theddida ċibernetika sinifikanti;

(c)	deskrizzjoni tat-theddida ċibernetika sinifikanti;

(d)	informazzjoni dwar l-impatt potenzjali tat-theddida ċibernetika sinifikanti fuq l-entità finanzjarja, il-klijenti tagħha, jew il-kontropartijiet finanzjarji;

(e)	il-kriterji ta’ klassifikazzjoni, li kienu jiskattaw ir-rapport ta’ inċident kbir, stabbiliti fl-Artikoli minn 1 sa 8 tar-Regolament Delegat (UE) 2024/1772 li kieku t-theddida ċibernetika seħħet;

(f)	informazzjoni dwar l-istatus tat-theddida ċibernetika sinifikanti u kwalunkwe bidla fl-attività tat-theddida;

(g)	fejn applikabbli, deskrizzjoni tal-azzjonijiet meħuda mill-entità finanzjarja biex tipprevjeni milli jseħħu theddidiet ċibernetiku sinifikanti;

(h)	informazzjoni dwar kwalunkwe notifika tat-theddida ċibernetika sinifikanti lil entitajiet jew awtoritajiet finanzjarji oħra;

(i)	fejn applikabbli, informazzjoni dwar indikaturi ta’ kompromess;

(j)	fejn disponibbli, kwalunkwe informazzjoni rilevanti oħra.

Artikolu 7

Dħul fis-seħħ

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, it-23 ta’ Ottubru 2024.

Għall-Kummissjoni

Il-President

Ursula VON DER LEYEN

(1) ĠU L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

(2) Id-Direttiva (UE) 2022/2555 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar miżuri għal livell għoli komuni ta’ ċibersigurtà madwar l-Unjoni kollha, li temenda r-Regolament (UE) Nru 910/2014 u d-Direttiva (UE) 2018/1972, u li tħassar id-Direttiva (UE) 2016/1148 (Direttiva NIS 2) (ĠU L 333, 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

(3) Ir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/78/KE (ĠU L 331, 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).

(4) Ir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol), u li jemenda d-Deċiżjoni Nru 716/2009/KE u li jħassar id-Deċiżjoni tal-Kummissjoni 2009/79/KE (ĠU L 331, 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).

(5) Ir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/77/KE (ĠU L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(6) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(7) Ir-Regolament Delegat tal-Kummissjoni (UE) 2024/1772 tat-13 ta’ Marzu 2024 li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta’ standards tekniċi regolatorji li jispeċifikaw il-kriterji għall-klassifikazzjoni ta’ inċidenti relatati mal-ICT u theddid ċibernetiku, li jistabbilixxi livelli limitu ta’ materjalità u li jispeċifika d-dettalji tar-rapporti ta’ inċidenti kbar (ĠU L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj).