(1)

Regulamentul (UE) 2022/2554 urmărește să armonizeze și să raționalizeze cerințele de raportare a incidentelor legate de TIC și a incidentelor operaționale sau de securitate legate de plăți care privesc instituțiile de credit, instituțiile de plată, prestatorii de servicii de informare cu privire la conturi și instituțiile emitente de monedă electronică (denumite în continuare „incidente”). Având în vedere că cerințele de raportare privesc 20 de tipuri diferite de entități financiare, criteriile de clasificare și pragurile de semnificație pentru determinarea incidentelor majore și a amenințărilor cibernetice semnificative ar trebui precizate într-o manieră simplă, armonizată și coerentă, care să țină seama de particularitățile serviciilor și ale activităților tuturor entităților financiare relevante.

(2)

Pentru a asigura proporționalitatea, criteriile de clasificare și pragurile de semnificație ar trebui să reflecte dimensiunea și profilul general de risc, precum și natura, amploarea și complexitatea serviciilor tuturor entităților financiare. În plus, criteriile și pragurile de semnificație ar trebui concepute astfel încât să se aplice în mod coerent tuturor entităților financiare, indiferent de dimensiunea și profilul lor de risc, și să nu reprezinte o sarcină de raportare disproporționată pentru entitățile financiare mai mici. Cu toate acestea, pentru a aborda situațiile în care un număr semnificativ de clienți sunt afectați de un incident care, ca atare, nu depășește pragul aplicabil, ar trebui stabilit un prag absolut care să vizeze în principal entitățile financiare mai mari.

(3)

În ceea ce privește cadrele de raportare a incidentelor, care au existat înainte de intrarea în vigoare a Regulamentului (UE) 2022/2554, ar trebui asigurată continuitatea pentru entitățile financiare. Prin urmare, criteriile de clasificare și pragurile de semnificație ar trebui să fie conforme cu Ghidul ABE privind raportarea incidentelor majore în temeiul Directivei (UE) 2015/2366 a Parlamentului European și a Consiliului (2), cu Orientările privind informarea periodică și notificarea modificărilor semnificative care trebuie transmise ESMA de registrele centrale de tranzacții, cu Cadrul de raportare a incidentelor cibernetice al BCE/MUS și cu alte orientări relevante și ar trebui să se inspire din modelul acestora. Criteriile și pragurile de clasificare ar trebui, de asemenea, să fie adecvate pentru entitățile financiare care nu făceau obiectul unor cerințe de raportare a incidentelor înainte de intrarea în vigoare a Regulamentului (UE) 2022/2554.

(4)

În ceea ce privește criteriul de clasificare „cuantumul și numărul tranzacțiilor afectate”, noțiunea de tranzacții este largă și acoperă diferite activități și servicii care fac obiectul unei multitudini de reglementări sectoriale aplicabile entităților financiare. În sensul acestui criteriu de clasificare, ar trebui să fie avute în vedere operațiunile de plată și toate formele de schimb de instrumente financiare, de criptoactive, de mărfuri sau de orice alte active, inclusiv sub formă de marje, garanții reale sau gajuri, atât contra numerar, cât și contra oricărui alt activ. Toate tranzacțiile care implică active a căror valoare poate fi exprimată în termeni monetari ar trebui avute în vedere în scopul clasificării.

(5)

Criteriile de clasificare ar trebui să garanteze faptul că sunt luate în considerare toate tipurile relevante de incidente majore. Este posibil ca multe criterii de clasificare să nu acopere neapărat atacurile cibernetice legate de intruziunea în rețele sau sisteme informatice. Cu toate acestea, ele sunt importante, deoarece orice intruziune în rețelele și sistemele informatice poate aduce prejudicii entității financiare. În consecință, criteriile de clasificare „servicii critice afectate” și „pierderi de date” ar trebui precizate astfel încât să acopere aceste tipuri de incidente majore, în special intruziunile neautorizate care, chiar dacă impactul lor nu este imediat cunoscut, pot avea consecințe grave, în special încălcări ale securității datelor și scurgeri de date.

(6)

Întrucât instituțiile de credit sunt supuse atât cadrului de clasificare a incidentelor în temeiul articolului 18 din Regulamentul (UE) 2022/2554, cât și al cadrului privind riscul operațional în temeiul Regulamentului delegat (UE) 2018/959 al Comisiei (3), abordările în ceea ce privește evaluarea impactului economic al unui incident pe baza calculului costurilor și al pierderilor ar trebui să fie, în cea mai mare măsură posibilă, coerente în ambele cadre pentru a se evita introducerea unor cerințe incompatibile sau contradictorii.

(7)

Criteriul referitor la întinderea geografică a unui incident, prevăzut la articolul 18 alineatul (1) litera (c) din Regulamentul (UE) 2022/2554, ar trebui să se axeze pe impactul transfrontalier al incidentului, întrucât impactul unui incident asupra activităților unei entități financiare din cadrul unei singure jurisdicții va fi reflectat de celelalte criterii prevăzute la articolul respectiv.

(8)

Întrucât criteriile de clasificare sunt interdependente și legate între ele, abordarea în ceea ce privește identificarea incidentelor majore care trebuie raportate în conformitate cu articolul 19 alineatul (1) din Regulamentul (UE) 2022/2554 ar trebui să se bazeze pe o combinație de criterii, în care unele criterii care sunt strâns legate de definițiile incidentelor legate de TIC și ale incidentelor majore legate de TIC, astfel cum sunt prevăzute la articolul 3 punctele 8 și 10 din Regulamentul (UE) 2022/2554, ar trebui să aibă o importanță mai mare în clasificarea incidentelor majore decât alte criterii.

(9)

Pentru a se asigura faptul că rapoartele și notificările incidentelor majore primite de autoritățile competente în temeiul articolului 19 alineatul (1) din Regulamentul (UE) 2022/2554 servesc atât în scopuri de supraveghere, cât și de prevenire a contagiunii în întregul sector financiar, pragurile de semnificație ar trebui să permită identificarea incidentelor majore, concentrându-se, printre altele, pe impactul asupra serviciilor critice specifice entității, pe pragurile absolute și relative specifice ale clienților sau ale contrapărților financiare, pe tranzacțiile care indică un impact semnificativ asupra entității financiare și pe importanța impactului în alte state membre.

(10)

Incidentele care afectează serviciile TIC sau rețelele și sistemele informatice care sprijină funcții critice sau importante ori care afectează serviciile financiare care necesită autorizare sau situațiile în care are loc un acces rău-intenționat neautorizat la rețele și sisteme informatice care sprijină funcții critice sau importante ar trebui considerate incidente care afectează serviciile critice ale entităților financiare. Accesul rău-intenționat neautorizat la rețele și sisteme informatice care sprijină funcții critice sau importante ale entităților financiare prezintă riscuri grave pentru entitatea financiară și, întrucât poate afecta alte entități financiare, ar trebui să fie întotdeauna considerat un incident major care trebuie raportat.

(11)

Incidentele recurente care sunt legate printr-o cauză principală aparentă similară și care, luate izolat, nu sunt incidente majore, pot indica existența unor deficiențe și slăbiciuni semnificative în procedurile de gestionare a incidentelor și a riscurilor ale entității financiare. Prin urmare, incidentele recurente ar trebui considerate colectiv ca fiind majore atunci când apar în mod repetat într-o anumită perioadă de timp.

(12)

Având în vedere că amenințările cibernetice pot avea un impact negativ asupra entității financiare și a sectorului financiar, amenințările cibernetice semnificative pe care entitățile financiare le pot semnala ar trebui să indice probabilitatea materializării lor și caracterul critic al impactului lor potențial. În consecință, pentru a se asigura o evaluare clară și coerentă a importanței amenințărilor cibernetice, clasificarea unei amenințări cibernetice ca fiind semnificativă ar trebui să depindă de probabilitatea îndeplinirii criteriilor pentru clasificarea unui incident ca incident major și a atingerii pragului corespunzător în cazul în care s-ar materializa amenințarea, de tipul de amenințare cibernetică și de informațiile de care dispune entitatea financiară.

(13)

Având în vedere că autoritățile competente din alte state membre trebuie să fie notificate cu privire la incidentele care au un impact asupra entităților financiare și a clienților din jurisdicția lor, evaluarea impactului într-o altă jurisdicție în conformitate cu articolul 19 alineatul (7) din Regulamentul (UE) 2022/2554 ar trebui să se bazeze pe cauza principală a incidentului, pe potențiala contagiune prin intermediul furnizorilor terți și pe infrastructurile pieței financiare, precum și pe impactul incidentului asupra grupurilor semnificative de clienți sau contrapărți financiare.

(14)

Procesele de raportare și notificare menționate la articolul 19 alineatele (6) și (7) din Regulamentul (UE) 2022/2554 ar trebui să permită destinatarilor respectivi să evalueze impactul incidentelor. Prin urmare, informațiile transmise ar trebui să includă toate detaliile cuprinse în rapoartele privind incidentele transmise de entitatea financiară autorității competente.

(15)

În cazul în care un incident constituie o încălcare a securității datelor cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (4) și cu Directiva 2002/58/CE a Parlamentului European și a Consiliului (5), prezentul regulament nu ar trebui să aducă atingere obligațiilor de înregistrare și notificare în cazul încălcării securității datelor cu caracter personal prevăzute în respectivele acte legislative ale Uniunii. Autoritățile competente ar trebui să coopereze și să facă schimb de informații cu privire la toate aspectele relevante cu autoritățile menționate în Regulamentul (UE) 2016/679 și în Directiva 2002/58/CE.

(16)

Prezentul regulament se bazează pe proiectele de standarde tehnice de reglementare prezentate Comisiei de către autoritățile europene de supraveghere, în consultare cu Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) și cu Banca Centrală Europeană (BCE).

(17)

Comitetul comun al autorităților europene de supraveghere menționat la articolul 54 din Regulamentul (UE) nr. 1093/2010 al Parlamentului European și al Consiliului (6), la articolul 54 din Regulamentul (UE) nr. 1094/2010 al Parlamentului European și al Consiliului (7) și la articolul 54 din Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului (8) a efectuat consultări publice deschise cu privire la proiectul de standarde tehnice de reglementare pe care se bazează prezentul regulament, a analizat costurile și beneficiile potențiale ale standardelor propuse și a solicitat avizul Grupului părților interesate din domeniul bancar, instituit în conformitate cu articolul 37 din Regulamentul (UE) nr. 1093/2010, al Grupului părților interesate din domeniul asigurărilor și reasigurărilor și al Grupului părților interesate din domeniul pensiilor ocupaționale, instituite în conformitate cu articolul 37 din Regulamentul (UE) nr. 1094/2010, precum și al Grupului părților interesate din domeniul valorilor mobiliare și piețelor, instituit în conformitate cu articolul 37 din Regulamentul (UE) nr. 1095/2010.

(18)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (9) și a emis un aviz la 24 ianuarie 2024,