(1)

A fim de assegurar a harmonização e a simplificação dos requisitos de notificação e comunicação de incidentes de caráter severo relacionados com as TIC a que se refere o artigo 19.o, n.o 4, do Regulamento (UE) 2022/2554, os prazos para a notificação de incidentes de caráter severo relacionados com as TIC deverão seguir uma abordagem coerente para todos os tipos de entidades financeiras. Por estas razões, os prazos também deverão seguir, tanto quanto possível, uma abordagem coerente com os requisitos estabelecidos na Diretiva (UE) 2022/2555 do Parlamento Europeu e do Conselho (2) e ter um efeito pelo menos equivalente aos mesmos.

(2)

A fim de evitar a imposição de encargos de comunicação indevidos às entidades financeiras no momento em que estas lidam com o incidente relacionado com as TIC, o conteúdo da notificação inicial deverá limitar-se às informações mais significativas. Para poderem tomar medidas de supervisão adequadas, as autoridades competentes devem receber informações sobre os incidentes de caráter severo relacionados com as TIC o mais rapidamente possível após a entidade financeira ter estabelecido essa classificação. Por conseguinte, o prazo para a apresentação de uma notificação inicial a que se refere o artigo 19.o, n.o 4, alínea a), do Regulamento (UE) 2022/2554 deverá ser o mais curto possível após a classificação de um incidente relacionado com as TIC como sendo de caráter severo, sem deixar de permitir flexibilidade, especialmente para modelos de negócio de serviços que não sejam particularmente críticos em termos de urgência, caso as entidades financeiras necessitem de mais tempo para tratar o incidente relacionado com as TIC após terem tomado conhecimento do mesmo.

(3)

Após receberem a notificação inicial, as autoridades competentes deverão receber informações mais pormenorizadas sobre o incidente relacionado com as TIC no relatório intercalar e todas as informações pertinentes no relatório final. As informações constantes desses relatórios deverão permitir às autoridades competentes avaliar mais aprofundadamente o incidente relacionado com as TIC, bem como as medidas de supervisão que possam querer tomar.

(4)

Os prazos de comunicação a que se refere o artigo 20.o, primeiro parágrafo, alínea a), subalínea ii), do Regulamento (UE) 2022/2554 deverão, por conseguinte, equilibrar a necessidade de as autoridades competentes receberem rapidamente as informações com a necessidade de proporcionar às entidades financeiras tempo suficiente para obterem informações completas e exatas.

(5)

Tendo em conta os critérios estabelecidos no artigo 20.o, primeiro parágrafo, alínea a), do Regulamento (UE) 2022/2554, os prazos de comunicação não devem representar um encargo desproporcionado para as microempresas e outras entidades financeiras que não sejam significativas. Por outro lado, a fim de evitar encargos desproporcionados para as entidades financeiras, os prazos de comunicação deverão ter em conta os fins de semana e os feriados.

(6)

Uma vez que as ciberameaças significativas devem ser notificadas numa base voluntária, o conteúdo dessas notificações não deverá impor encargos às entidades financeiras e deverá ser mais limitado do que as informações solicitadas para incidentes de caráter severo relacionados com as TIC.

(7)

O presente regulamento baseia-se nos projetos de normas técnicas de regulamentação apresentados à Comissão pelas Autoridades Europeias de Supervisão.

(8)

As Autoridades Europeias de Supervisão realizaram consultas públicas abertas sobre os projetos de normas técnicas de regulamentação em que se baseia o presente regulamento, analisaram os potenciais custos e benefícios associados e solicitaram o parecer dos Grupos de Partes Interessadas criados em conformidade com o artigo 37.o dos Regulamentos (UE) n.o 1093/2010 (3), (UE) n.o 1094/2010 (4) e (UE) n.o 1095/2010 (5) do Parlamento Europeu e do Conselho.

(9)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do disposto no artigo 42.o, n.o 1, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (6) e emitiu parecer positivo em 22 de julho de 2024. Qualquer tratamento de dados pessoais abrangido pelo âmbito de aplicação do presente regulamento deverá ser efetuado em conformidade com os princípios e disposições aplicáveis em matéria de proteção de dados constantes do Regulamento (UE) 2018/1725,

a)

O tipo de apresentação (notificação inicial, relatório intercalar ou relatório final);

b)

O nome da entidade financeira, o seu código LEI e o tipo de entidade financeira, como referido no artigo 2.o, n.o 1, do Regulamento (UE) 2022/2554;

c)

O nome e o código de identificação da entidade que apresenta a notificação inicial, o relatório intercalar ou o relatório final em nome da entidade financeira;

d)

Se for caso disso, os nomes e códigos LEI de todas as entidades financeiras abrangidas pela notificação inicial, relatório intercalar ou relatório final agregados;

e)

Os dados de contacto das pessoas responsáveis pela comunicação com a autoridade competente sobre o incidente de caráter severo relacionado com as TIC;

f)

Se for caso disso, a identificação da empresa-mãe do grupo ao qual pertence a entidade financeira;

g)

Em caso de impacto monetário, a divisa em que se baseiam os montantes.

a)

O código de referência atribuído ao incidente pela entidade financeira;

b)

A data de deteção, a hora de deteção e a classificação do incidente, nos termos do artigo 8.o do Regulamento Delegado (UE) 2024/1772 da Comissão (7);

c)

Uma descrição do incidente relacionado com as TIC;

d)

Os critérios, estabelecidos nos artigos 1.o a 8.o do Regulamento Delegado (UE) 2024/1772, com base nos quais a entidade financeira classificou o incidente relacionado com as TIC como sendo de caráter severo;

e)

Os Estados-Membros afetados pelo incidente relacionado com as TIC;

f)

Informações sobre a forma como o incidente relacionado com as TIC foi detetado;

g)

Se disponíveis, informações sobre a origem do incidente relacionado com as TIC;

h)

Informações sobre se a entidade financeira ativou um plano de continuidade das atividades;

i)

Se for caso disso, informações sobre a reclassificação do incidente relacionado com as TIC de caráter severo para de caráter não severo;

j)

Se disponíveis, quaisquer outras informações pertinentes.

a)

Se for caso disso, o código de referência do incidente fornecido pela autoridade competente;

b)

A data e hora de ocorrência do incidente relacionado com as TIC;

c)

Se for caso disso, a data e hora em que a entidade financeira retomou as suas atividades regulares;

d)

Informações sobre como foram cumpridos os critérios estabelecidos nos artigos 1.o a 8.o do Regulamento Delegado (UE) 2024/1772, com base nos quais a entidade financeira classificou o incidente relacionado com as TIC como sendo de caráter severo;

e)

O tipo de incidente relacionado com as TIC;

f)

Se for caso disso, as ameaças e técnicas utilizadas pelo autor da ameaça;

g)

Áreas funcionais e processos empresariais afetados;

h)

Componentes afetados da infraestrutura de apoio aos processos operacionais;

i)

Impacto nos interesses financeiros dos clientes;

j)

Informações sobre a comunicação de incidentes relacionados com as TIC a outras autoridades;

k)

Ações ou medidas temporárias tomadas ou previstas pela entidade financeira para recuperar do incidente relacionado com as TIC;

l)

Se for caso disso, informações sobre os indicadores de exposição a riscos.

a)

Informações sobre as causas profundas do incidente relacionado com as TIC;

b)

Datas e horas em que o incidente relacionado com as TIC foi resolvido e em que foi (foram) abordada(s) a(s) causa(s) profunda(s);

c)

Informações sobre a resolução do incidente relacionado com as TIC;

d)

Se for caso disso, informações pertinentes para as autoridades de resolução;

e)

Informações sobre os custos e perdas diretos e indiretos decorrentes do incidente relacionado com as TIC e informações sobre recuperações financeiras;

f)

Se for caso disso, informações sobre incidentes relacionados com as TIC de caráter recorrente.

a)

Informações gerais sobre a entidade financeira que apresenta a notificação, conforme previsto no artigo 1.o;

b)

A data e hora da deteção da ciberameaça significativa e quaisquer outros carimbos temporais pertinentes relacionados com a ciberameaça significativa;

c)

Uma descrição da ciberameaça significativa;

d)

Informação sobre o potencial impacto da ciberameaça significativa na entidade financeira, nos seus clientes ou em contrapartes financeiras;

e)

Os critérios de classificação que teriam desencadeado um relatório de incidente de caráter severo previsto nos artigos 1.o a 8.o do Regulamento Delegado (UE) 2024/1772 se a ciberameaça se tivesse materializado;

f)

Informações sobre o estado da ciberameaça significativa e quaisquer alterações na atividade de ameaça;

g)

Se for caso disso, uma descrição das medidas tomadas pela entidade financeira para impedir a materialização das ciberameaças significativas;

h)

Informações sobre qualquer notificação da ciberameaça significativa a outras entidades financeiras ou autoridades;

i)

Se for caso disso, informações sobre os indicadores de exposição a riscos;

j)

Se disponíveis, quaisquer outras informações pertinentes.