Číslo poľa

Dátové pole

Všeobecné informácie o finančnom subjekte

1.1

Typ predloženia

1.2

Názov subjektu, ktorý predkladá správu

1.3

Identifikačný kód subjektu, ktorý predkladá správu

1.4

Typ ovplyvneného finančného subjektu

1.5

Názov ovplyvneného finančného subjektu

1.6

Identifikátor právneho subjektu ovplyvneného finančného subjektu

1.7

Meno hlavnej kontaktnej osoby

1.8

E-mail: hlavnej kontaktnej osoby

1.9

Telefón hlavnej kontaktnej osoby

1.10

Meno druhej kontaktnej osoby

1.11

E-mail: druhej kontaktnej osoby

1.12

Telefón druhej kontaktnej osoby

1.13

Názov hlavného materského podniku

1.14

Identifikátor právneho subjektu hlavného materského podniku

1.15

Mena vykazovania

Obsah počiatočného oznámenia

2.1

Referenčný kód incidentu pridelený finančným subjektom

2.2

Dátum a čas zistenia závažného incidentu súvisiaceho s IKT

2.3

Dátum a čas klasifikácie incidentu súvisiaceho s IKT ako závažného

2.4

Opis závažného incidentu súvisiaceho s IKT

2.5

Klasifikačné kritériá, ktoré viedli k nahláseniu incidentu

2.6

Prahové hodnoty významnosti pre klasifikačné kritérium „geografické rozloženie“

2.7

Zistenie závažného incidentu súvisiaceho s IKT

2.8

Údaj o tom, či závažný incident súvisiaci s IKT pochádza od externého poskytovateľa alebo iného finančného subjektu

2.9

Aktivácia plánu kontinuity činnosti, ak je aktivovaný

2.10

Ďalšie relevantné informácie

Obsah priebežnej správy

3.1

Referenčný kód incidentu poskytnutý príslušným orgánom

3.2

Dátum a čas výskytu závažného incidentu súvisiaceho s IKT

3.3

Dátum a čas obnovenia služieb, činností alebo operácií

3.4

Počet ovplyvnených klientov

3.5

Percentuálny podiel ovplyvnených klientov

3.6

Počet ovplyvnených finančných protistrán

3.7

Percentuálny podiel ovplyvnených finančných protistrán

3.8

Vplyv na príslušných klientov alebo finančné protistrany

3.9

Počet ovplyvnených transakcií

3.10

Percentuálny podiel ovplyvnených transakcií

3.11

Hodnota ovplyvnených transakcií

3.12

Informácie o tom, či ide o skutočné čísla alebo odhady, alebo či nedošlo k žiadnemu vplyvu

3.13

Vplyv na dobré meno

3.14

Kontextové informácie o vplyve na dobré meno

3.15

Trvanie závažného incidentu súvisiaceho s IKT

3.16

Výpadok služby

3.17

Informácie o tom, či sú údaje o dĺžke trvania a čase výpadku služby skutočné alebo odhadované

3.18

Typy vplyvu v členských štátoch

3.19

Opis toho, aký vplyv má závažný incident súvisiaci s IKT na ostatné členské štáty.

3.20

Prahové hodnoty významnosti pre klasifikačné kritérium „straty údajov“

3.21

Opis strát údajov

3.22

Klasifikačné kritérium „kritickosť zasiahnutých služieb“

3.23

Typ závažného incidentu súvisiaceho s IKT

3.24

Iné typy incidentov

3.25

Hrozby a techniky používané aktérom hrozby

3.26

Iné typy techník

3.27

Informácie o ovplyvnených funkčných oblastiach a obchodných procesoch

3.28

Ovplyvnené zložky infraštruktúry podporujúce obchodné procesy

3.29

Informácie o ovplyvnených zložkách infraštruktúry podporujúcich obchodné procesy

3.30

Vplyv na finančné záujmy klientov

3.31

Nahlasovanie iným orgánom

3.32

Špecifikácia „iných“ orgánov

3.33

Dočasné kroky/opatrenia, ktoré sa prijali alebo sa plánujú prijať na obnovu po incidente

3.34

Opis všetkých dočasných činností a opatrení, ktoré sa prijali alebo sa plánujú prijať na obnovu po incidente

3.35

Ukazovatele ohrozenia

Obsah záverečnej správy

4.1

Klasifikácia hlavných príčin incidentu na vysokej úrovni

4.2

Podrobná klasifikácia hlavných príčin incidentu

4.3

Dodatočná klasifikácia hlavných príčin incidentu

4.4

Iné typy hlavných príčin

4.5

Informácie o hlavných príčinách incidentu

4.6

Zhrnutie riešenia incidentu

4.7

Dátum a čas, kedy sa riešila hlavná príčina incidentu

4.8

Dátum a čas vyriešenia incidentu

4.9

Informácie, ak sa dátum trvalého riešenia incidentu líši od pôvodne plánovaného dátumu vykonania

4.10

Posúdenie rizika pre zásadné funkcie na účely riešenia incidentov

4.11

Informácie relevantné pre orgány pre riešenie krízových situácií

4.12

Prahová hodnota významnosti pre klasifikačné kritérium „hospodársky vplyv“

4.13

Výška hrubých priamych a nepriamych nákladov a strát

4.14

Výška vrátených finančných prostriedkov

4.15

Informácie o tom, či sa incidenty, ktoré nie sú závažné, opakujú

4.16

Dátum a čas výskytu opakujúcich sa incidentov

Dátové pole

Opis

Povinné v prípade počiatočného oznámenia

Povinné v prípade priebežnej správy

Povinné v prípade záverečnej správy

Druh poľa

Všeobecné informácie o finančnom subjekte

Uveďte typ oznámenia o incidente alebo správy, ktorá sa predkladá príslušnému orgánu.

Áno

Áno

Áno

Pole s možnosťou výberu:

Úplný právny názov subjektu, ktorý predkladá správu.

Áno

Áno

Áno

Alfanumerické

Identifikačný kód subjektu, ktorý predkladá správu.

Ak finančné subjekty predkladajú oznámenie/správu, identifikačným kódom je identifikátor právneho subjektu (LEI), čo je jedinečný 20-miestny alfanumerický kód podľa normy ISO 17442-1:2020.

Externý poskytovateľ, ktorý predkladá správu za finančný subjekt, môže použiť identifikačný kód uvedený vo vykonávacích technických predpisoch prijatých podľa článku 28 ods. 9 nariadenia (EÚ) 2022/2554.

Áno

Áno

Áno

Alfanumerické

Typ subjektu podľa článku 2 ods. 1 písm. a) až t) nariadenia (EÚ) 2022/2554, za ktorý sa správa predkladá.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia sa vyberú rôzne typy finančných subjektov, na ktoré sa súhrnná správa vzťahuje.

Áno

Áno

Áno

Pole s možnosťou výberu (viacnásobný výber):

Úplný právny názov finančného subjektu, ktorý je ovplyvnený závažným incidentom súvisiacim s IKT a ktorý je povinný nahlásiť závažný incident svojmu príslušnému orgánu podľa článku 19 nariadenia (EÚ) 2022/2554.

V prípade súhrnného nahlasovania:

Áno, ak je finančný subjekt, ktorý je ovplyvnený incidentom, odlišný od subjektu, ktorý predkladá správu, a v prípade súhrnného nahlasovania.

Áno, ak je finančný subjekt, ktorý je ovplyvnený incidentom, odlišný od subjektu, ktorý predkladá správu, a v prípade súhrnného nahlasovania.

Áno, ak je finančný subjekt, ktorý je ovplyvnený incidentom, odlišný od subjektu, ktorý predkladá správu, a v prípade súhrnného nahlasovania.

Alfanumerické

Identifikátor právneho subjektu (LEI) finančného subjektu, ktorý je ovplyvnený závažným incidentom súvisiacim s IKT, pridelený v súlade s Medzinárodnou organizáciou pre normalizáciu.

V prípade súhrnného nahlasovania:

Poradie výskytu identifikátorov právneho subjektu a názvov finančných subjektov musí byť rovnaké.

Áno, ak je finančný subjekt, ktorý je ovplyvnený závažným incidentom súvisiacim s IKT, odlišný od subjektu, ktorý predkladá správu, a v prípade súhrnného nahlasovania.

Áno, ak je finančný subjekt, ktorý je ovplyvnený závažným incidentom súvisiacim s IKT, odlišný od subjektu, ktorý predkladá správu, a v prípade súhrnného nahlasovania.

Áno, ak je finančný subjekt, ktorý je ovplyvnený závažným incidentom súvisiacim s IKT, odlišný od subjektu, ktorý predkladá správu, a v prípade súhrnného nahlasovania

Jedinečný 20-miestny alfanumerický kód podľa normy ISO 17442-1:2020

Meno a priezvisko hlavnej kontaktnej osoby finančného subjektu.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia meno hlavnej kontaktnej osoby v subjekte, ktorý predkladá súhrnnú správu.

Áno

Áno

Áno

Alfanumerické

E-mailová adresa hlavnej kontaktnej osoby, ktorú môže príslušný orgán použiť na následnú komunikáciu.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia e-mail: hlavnej kontaktnej osoby v subjekte, ktorý predkladá súhrnnú správu.

Áno

Áno

Áno

Alfanumerické

Telefónne číslo hlavnej kontaktnej osoby, ktoré môže príslušný orgán použiť na následnú komunikáciu.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia telefónne číslo hlavnej kontaktnej osoby v subjekte, ktorý predkladá súhrnnú správu.

Telefónne číslo sa uvádza so všetkými medzinárodnými predvoľbami (napr. +33XXXXXXXXX)

Áno

Áno

Áno

Alfanumerické

Meno a priezvisko druhej kontaktnej osoby alebo názov zodpovedného tímu finančného subjektu alebo subjektu, ktorý predkladá správu v mene finančného subjektu

Áno

Áno

Áno

Alfanumerické

E-mailová adresa druhej kontaktnej osoby alebo funkčná e-mailová adresa tímu, ktorú môže príslušný orgán použiť na následnú komunikáciu.

Áno

Áno

Áno

Alfanumerické

Telefónne číslo druhej kontaktnej osoby alebo tímu, ktoré môže príslušný orgán použiť na následnú komunikáciu.

Telefónne číslo sa uvádza so všetkými medzinárodnými predvoľbami (napr. +33XXXXXXXXX)

Áno

Áno

Áno

Alfanumerické

Názov hlavného materského podniku skupiny, do ktorej patrí ovplyvnený finančný subjekt, v náležitých prípadoch.

Áno, ak finančný subjekt patrí do skupiny.

Áno, ak finančný subjekt patrí do skupiny.

Áno, ak finančný subjekt patrí do skupiny.

Alfanumerické

Identifikátor právneho subjektu hlavného materského podniku skupiny, do ktorej patrí ovplyvnený finančný subjekt, v náležitých prípadoch. Priradený v súlade s Medzinárodnou organizáciou pre normalizáciu.

Áno, ak finančný subjekt patrí do skupiny.

Áno, ak finančný subjekt patrí do skupiny.

Áno, ak finančný subjekt patrí do skupiny.

Jedinečný 20-miestny alfanumerický kód podľa normy ISO 17442-1:2020.

Mena používaná pri nahlasovaní incidentov

Áno

Áno

Áno

Pole s možnosťou výberu vyplnené pomocou kódov mien podľa normy ISO 4217

Obsah počiatočného oznámenia

Jedinečný referenčný kód vydaný finančným subjektom, ktorý jednoznačne identifikuje závažný incident súvisiaci s IKT.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia referenčný kód incidentu pridelený externým poskytovateľom.

Áno

Áno

Áno

Alfanumerické

Dátum a čas, kedy sa finančný subjekt dozvedel o incidente súvisiacom s IKT.

V prípade opakujúcich sa incidentov dátum a čas, kedy bol zistený posledný incident súvisiaci s IKT.

Áno

Áno

Áno

Norma ISO 8601 UTC (RRRR-MM-DD hh. mm.ss)

Dátum a čas, kedy bol incident súvisiaci s IKT klasifikovaný ako závažný podľa klasifikačných kritérií stanovených v delegovanom nariadení (EÚ) 2024/1772.

Áno

Áno

Áno

Norma ISO 8601 UTC (RRRR-MM-DD hh. mm.ss)

Opis najdôležitejších aspektov závažného incidentu súvisiaceho s IKT.

Finančné subjekty poskytnú prehľad na vysokej úrovni o nasledujúcich informáciách, ako sú možné príčiny, bezprostredné vplyvy, ovplyvnené systémy a iné. Finančné subjekty zahrnú, ak sú známe alebo sa odôvodnene predpokladá, že incident má vplyv na externých poskytovateľov alebo iné finančné subjekty, typ poskytovateľa alebo finančného subjektu, ich názov, príslušné identifikačné kódy a typ identifikačného kódu (napr. LEI alebo EUID).

V ďalších správach sa obsah polí môže časom vyvíjať tak, aby sa zohľadňovalo priebežné chápanie incidentu súvisiaceho s IKT a opisovali sa akékoľvek ďalšie relevantné informácie o incidente súvisiacom s IKT, ktoré nie sú zachytené v dátových poliach, vrátane interného hodnotenia závažnosti zo strany finančného subjektu (napr. veľmi nízka, nízka, stredná, vysoká, veľmi vysoká) a uviedla sa úroveň a názov najvyšších rozhodovacích štruktúr, ktoré boli zapojené do reakcie na incident súvisiaci s IKT.

Áno

Áno

Áno

Alfanumerické

Klasifikačné kritériá podľa delegovaného nariadenia (EÚ) 2024/1772, na základe ktorých sa incident súvisiaci s IKT určil ako závažný a následne sa oznámil a nahlásil.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia klasifikačné kritériá, na základe ktorých sa incident súvisiaci s IKT určil ako závažný aspoň pre jeden alebo viac finančných subjektov.

Áno

Áno

Áno

Pole s možnosťou výberu (viac možností):

Členské štáty EHP ovplyvnené závažným incidentom súvisiacim s IKT

Pri posudzovaní vplyvu závažného incidentu súvisiaceho s IKT v iných členských štátoch finančné subjekty zohľadňujú články 4 a 12 delegovaného nariadenia (EÚ) 2024/1772.

Áno, ak je splnená prahová hodnota pre kritérium „geografické rozloženie“.

Áno, ak je splnená prahová hodnota pre kritérium „geografické rozloženie“.

Áno, ak je splnená prahová hodnota pre kritérium „geografické rozloženie“.

Pole s možnosťou výberu (viac možností) vyplnené po použití ISO 3166 ALPHA-2 dotknutých krajín

Údaj o tom, ako bol zistený závažný incident súvisiaci s IKT.

Áno

Áno

Áno

Pole s možnosťou výberu:

Údaj o tom, či závažný incident súvisiaci s IKT pochádza od externého poskytovateľa alebo iného finančného subjektu.

Finančné subjekty uvedú, či závažný incident súvisiaci s IKT pochádza od externého poskytovateľa alebo iného finančného subjektu (vrátane finančných subjektov patriacich do rovnakej skupiny ako nahlasujúci subjekt), a názov, identifikačný kód externého poskytovateľa alebo finančného subjektu a typ identifikačného kódu (napr. LEI alebo EUID).

Áno, ak incident pochádza od externého poskytovateľa alebo iného finančného subjektu

Áno, ak incident pochádza od externého poskytovateľa alebo iného finančného subjektu

Áno, ak incident pochádza od externého poskytovateľa alebo iného finančného subjektu

Alfanumerické

Údaj o tom, či došlo k formálnej aktivácii opatrení na zabezpečenie kontinuity činností finančného subjektu.

Áno

Áno

Áno

Booleovské (áno alebo nie)

Akékoľvek ďalšie informácie, ktoré nie sú uvedené vo vzore.

Finančné subjekty, ktoré preklasifikovali závažný incident súvisiaci s IKT na iný ako závažný, opíšu dôvody, prečo incident súvisiaci s IKT nespĺňa a ani sa neočakáva, že bude spĺňať kritériá na to, aby sa považoval za závažný incident súvisiaci s IKT.

Áno, ak existujú ďalšie informácie, ktoré nie sú zahrnuté vo vzore, alebo ak bol závažný incident súvisiaci s IKT preklasifikovaný na menej závažný.

Áno, ak existujú ďalšie informácie, ktoré nie sú zahrnuté vo vzore, alebo ak bol závažný incident súvisiaci s IKT preklasifikovaný na menej závažný

Áno, ak existujú ďalšie informácie, ktoré nie sú zahrnuté vo vzore, alebo ak bol závažný incident súvisiaci s IKT preklasifikovaný na menej závažný

Alfanumerické

Obsah priebežnej správy

Jedinečný referenčný kód pridelený príslušným orgánom v čase prijatia prvého oznámenia na jednoznačnú identifikáciu závažného incidentu súvisiaceho s IKT.

Nie

Áno, ak sa uplatňuje

Áno, ak sa uplatňuje

Alfanumerické

Dátum a čas, kedy došlo k závažnému incidentu súvisiacemu s IKT, ak sa líši od času, kedy sa finančný subjekt dozvedel o závažnom incidente súvisiacom s IKT.

V prípade opakujúcich sa závažných incidentov súvisiacich s IKT dátum a čas, kedy došlo k poslednému závažnému incidentu súvisiacemu s IKT.

Nie

Áno

Áno

Norma ISO 8601 UTC (RRRR-MM-DD hh. mm.ss)

Informácie o dátume a čase obnovenia služieb, činností alebo operácií ovplyvnených závažným incidentom súvisiacim s IKT.

Nie

Áno, ak bolo dátové pole 3.16. „Výpadok služby“ vyplnené

Áno, ak bolo dátové pole 3.16. „Výpadok služby“ vyplnené

Norma ISO 8601 UTC (RRRR-MM-DD hh. mm.ss)

Počet klientov ovplyvnených závažným incidentom súvisiacim s IKT, ktorí využívajú služby poskytované finančným subjektom.

Pri posudzovaní počtu ovplyvnených klientov finančné subjekty prihliadajú na článok 1 ods. 1 a článok 9 ods. 1 písm. b) delegovaného nariadenia (EÚ) 2024/1772. Finančný subjekt, ktorý nedokáže určiť skutočný počet dotknutých klientov, použije odhady založené na dostupných údajoch z porovnateľných referenčných období.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia celkový počet ovplyvnených klientov vo všetkých finančných subjektoch.

Nie

Áno

Áno

Celé číslo

Percentuálny podiel klientov ovplyvnených závažným incidentom súvisiacim s IKT vo vzťahu k celkovému počtu klientov, ktorí využívajú ovplyvnené služby poskytované finančným subjektom. V prípade viacerých ovplyvnených služieb sa služby poskytujú súhrnne.

Finančné subjekty pri posudzovaní zohľadňujú článok 1 ods. 1 a článok 9 ods. 1 písm. a) delegovaného nariadenia (EÚ) 2024/1772.

Finančný subjekt, ktorý nedokáže určiť skutočný percentuálny podiel ovplyvnených klientov, použije odhady založené na dostupných údajoch z porovnateľných referenčných období.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia finančný subjekt vydelí súčet všetkých ovplyvnených klientov celkovým počtom klientov všetkých ovplyvnených finančných subjektov.

Nie

Áno

Áno

Vyjadrené ako percentuálny podiel – akákoľvek hodnota najviac s piatimi číselnými znakmi vrátane najviac jedného desatinného miesta vyjadrená ako percentuálny podiel (napr. 2,4 namiesto 2,4 %). Ak má hodnota po desatinnej čiarke viac ako jednu číslicu, nahlasujúce protistrany posledné miesto zaokrúhlia smerom nahor.

Počet finančných protistrán, ktoré boli ovplyvnené závažným incidentom súvisiacim s IKT a ktoré uzavreli zmluvu s finančným subjektom.

Pri posudzovaní počtu ovplyvnených finančných protistrán finančné subjekty prihliadajú na článok 1 ods. 2 delegovaného nariadenia (EÚ) 2024/1772. Finančný subjekt, ktorý nedokáže určiť skutočný počet ovplyvnených finančných protistrán, použije odhady založené na dostupných údajoch z porovnateľných referenčných období.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia celkový počet ovplyvnených finančných protistrán vo všetkých finančných subjektoch.

Nie

Áno

Áno

Celé číslo

Percentuálny podiel finančných protistrán ovplyvnených závažným incidentom súvisiacim s IKT vo vzťahu k celkovému počtu finančných protistrán, ktoré uzavreli zmluvu s finančným subjektom.

Pri posudzovaní percentuálneho podielu ovplyvnených finančných protistrán finančné subjekty prihliadajú na článok 1 ods. 1 a článok 9 ods. 1 písm. c) delegovaného nariadenia (EÚ) 2024/1772.

Finančný subjekt, ktorý nedokáže určiť skutočný percentuálny podiel ovplyvnených finančných protistrán, použije odhady založené na dostupných údajoch z porovnateľných referenčných období.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia uveďte súčet všetkých ovplyvnených finančných protistrán vydelený celkovým počtom finančných protistrán všetkých ovplyvnených finančných subjektov.

Nie

Áno

Áno

Vyjadrené ako percentuálny podiel – akákoľvek hodnota najviac s piatimi číselnými znakmi vrátane najviac jedného desatinného miesta vyjadrená ako percentuálny podiel (napr. 2,4 namiesto 2,4 %). Ak má hodnota po desatinnej čiarke viac ako jednu číslicu, nahlasujúce protistrany posledné miesto zaokrúhlia smerom nahor.

Akýkoľvek zistený vplyv na príslušných klientov alebo finančné protistrany, ako sa uvádza v článku 1 ods. 3 a článku 9 ods. 1 písm. f) delegovaného nariadenia (EÚ) 2024/1772.

Nie

Áno, ak je splnená prahová hodnota kritéria „relevantnosť klientov a finančných protistrán“

Áno, ak je splnená prahová hodnota kritéria „relevantnosť klientov a finančných protistrán“

Booleovské (áno alebo nie)

Počet transakcií ovplyvnených závažným incidentom súvisiacim s IKT.

Pri posudzovaní vplyvu na transakcie finančné subjekty zohľadňujú článok 1 ods. 4 delegovaného nariadenia (EÚ) 2024/1772 vrátane všetkých ovplyvnených domácich a cezhraničných transakcií obsahujúcich peňažnú sumu, ktoré majú aspoň jednu časť transakcie vykonanú v Únii.

Finančný subjekt, ktorý nedokáže určiť skutočný počet ovplyvnených transakcií, použije odhady založené na dostupných údajoch z porovnateľných referenčných období.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia uviesť celkový počet ovplyvnených transakcií vo všetkých finančných subjektoch.

Nie

Áno, ak incident ovplyvnil nejakú transakciu

Áno, ak incident ovplyvnil nejakú transakciu

Celé číslo

Percentuálny podiel ovplyvnených transakcií vo vzťahu k priemernému dennému počtu domácich a cezhraničných transakcií vykonaných finančným subjektom v súvislosti s ovplyvnenou službou.

Finančné subjekty zohľadňujú článok 1 ods. 4 a článok 9 ods. 1 písm. d) delegovaného nariadenia (EÚ) 2024/1772.

Finančný subjekt, ktorý nemôže určiť skutočný percentuálny podiel ovplyvnených transakcií, použije odhady.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia finančný subjekt spočíta počet všetkých ovplyvnených transakcií a súčet vydelí celkovým počtom transakcií všetkých ovplyvnených finančných subjektov.

Nie

Áno, ak incident ovplyvnil nejakú transakciu

Áno, ak incident ovplyvnil nejakú transakciu

Vyjadrené ako percentuálny podiel – akákoľvek hodnota najviac s piatimi číselnými znakmi vrátane najviac jedného desatinného miesta vyjadrená ako percentuálny podiel (napr. 2,4 namiesto 2,4 %). Ak má hodnota po desatinnej čiarke viac ako jednu číslicu, nahlasujúce protistrany posledné miesto zaokrúhlia smerom nahor.

Celková hodnota transakcií ovplyvnených závažným incidentom súvisiacim s IKT sa posudzuje v súlade s článkom 1 ods. 4 a článkom 9 ods. 1 písm. e) delegovaného nariadenia (EÚ) 2024/1772.

Finančný subjekt, ktorý nedokáže určiť skutočnú hodnotu ovplyvnených transakcií, použije odhady založené na dostupných údajoch z porovnateľných referenčných období.

Finančný subjekt vykazuje peňažnú sumu ako kladnú hodnotu.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia celková hodnota ovplyvnených transakcií vo všetkých finančných subjektoch.

Nie

Áno, ak incident ovplyvnil nejaké transakcie

Áno, ak incident ovplyvnil nejakú transakciu

Peňažná suma

Finančné subjekty vykazujú údajový bod v jednotkách s minimálnou presnosťou zodpovedajúcou tisícom jednotiek (napr. 2,5 namiesto 2 500  EUR).

Informácie o tom, či hodnoty vykázané v dátových poliach 3.4 až 3.11 sú skutočné alebo odhadované, alebo či nedošlo k žiadnemu vplyvu.

Nie

Áno

Áno

Pole s možnosťou výberu (viac možností):

Informácie o vplyve na dobré meno v dôsledku závažného incidentu súvisiaceho s IKT, ako sa uvádza v článkoch 2 a 10 delegovaného nariadenia (EÚ) 2024/1772.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia kategórie vplyvu na dobré meno, ktoré sa vzťahujú aspoň na jeden finančný subjekt.

Nie

Áno, ak je splnené kritérium „vplyv na dobré meno“

Áno, ak je splnené kritérium „vplyv na dobré meno“

Pole s možnosťou výberu (viac možností):

Informácie opisujúce, ako závažný incident súvisiaci s IKT ovplyvnil alebo by mohol ovplyvniť dobré meno finančného subjektu vrátane porušenia právnych predpisov, nesplnených regulačných požiadaviek, počtu sťažností klientov a iných.

Kontextové informácie zahŕňajú typ médií (napr. tradičné a digitálne médiá, blogy, streamovacie platformy) a mediálne pokrytie vrátane dosahu médií (miestne, národné, medzinárodné). Medializácia v tomto kontexte neznamená niekoľko negatívnych komentárov sledovateľov alebo používateľov sociálnych sietí.

Finančný subjekt takisto uvedie, či medializácia poukázala na významné riziká pre jeho klientov v súvislosti so závažným incidentom súvisiacim s IKT vrátane rizika platobnej neschopnosti finančného subjektu alebo rizika straty finančných prostriedkov.

Finančné subjekty takisto uvedú, či poskytli médiám informácie, ktoré slúžili na spoľahlivé informovanie verejnosti o závažnom incidente súvisiacom s IKT a jej dôsledkoch.

Finančné subjekty môžu takisto uviesť, či sa v médiách v súvislosti s incidentom súvisiacim s IKT objavili nepravdivé informácie vrátane informácií založených na úmyselných dezinformáciách šírených aktérmi hrozieb alebo informácií týkajúcich sa poškodenia webového sídla finančného subjektu alebo zobrazujúcich takéto poškodenie.

Nie

Áno, ak je splnené kritérium „vplyv na dobré meno“.

Áno, ak je splnené kritérium „vplyv na dobré meno“.

Alfanumerické

Finančné subjekty merajú trvanie závažného incidentu súvisiaceho s IKT od okamihu, keď došlo k závažnému incidentu súvisiacemu s IKT, do okamihu, keď bol incident vyriešený.

Finančné subjekty, ktoré nemôžu určiť okamih, kedy prišlo k závažnému incidentu súvisiacemu s IKT, merajú trvanie závažného incidentu súvisiaceho s IKT od skoršieho okamihu medzi okamihom, keď finančný subjekt zistil incident, a okamihom, keď finančný subjekt zaznamenal incident v sieťových alebo systémových protokoloch alebo iných zdrojoch údajov. Finančné subjekty, ktoré ešte nevedia, kedy bude vyriešený závažný incident súvisiaci s IKT, použijú odhady. Hodnota sa vyjadruje v dňoch, hodinách a minútach.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia finančné subjekty merajú najdlhšie trvanie závažného incidentu súvisiaceho s IKT v prípade rozdielov medzi finančnými subjektmi.

Nie

Áno

Áno

DD:HH:MM

Výpadok služby meraný od okamihu, keď je služba úplne alebo čiastočne nedostupná pre klientov, finančné protistrany alebo iných interných alebo externých používateľov, až do okamihu, keď sa pravidelné činnosti alebo operácie obnovia na úroveň služby, ktorá bola poskytovaná pred závažným incidentom súvisiacim s IKT.

Ak výpadok služby spôsobí omeškanie pri poskytovaní služby po obnovení bežných činností alebo operácií, finančné protistrany merajú výpadok od začiatku závažného incidentu súvisiaceho s IKT do momentu, keď sa uvedená meškajúca služba poskytuje. Finančné subjekty, ktoré nemôžu určiť okamih začatia výpadku služby, merajú výpadok služby od skoršieho okamihu medzi zistením incidentu a okamihom jeho zaznamenania.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia finančné subjekty merajú najdlhšie trvanie výpadku služby v prípade rozdielov medzi finančnými subjektmi.

Nie

Áno, ak incident spôsobil výpadok služby

Áno, ak incident spôsobil výpadok služby

DD:HH:MM

Informácia o tom, či hodnoty uvedené v dátových poliach 3.15 a 3.16 sú skutočné alebo odhadované.

Nie

Áno, ak je splnené kritérium „trvanie incidentu súvisiaceho s IKT a výpadok služby“

Áno, ak je splnené kritérium „trvanie incidentu súvisiaceho s IKT a výpadok služby“

Pole s možnosťou výberu:

Typ vplyvu v príslušných členských štátoch EHP.

Údaj o tom, či závažný incident súvisiaci s IKT mal vplyv v iných členských štátoch EHP (okrem členského štátu príslušného orgánu, ktorému bol incident priamo nahlásený) v súlade s článkom 4 delegovaného nariadenia (EÚ) 2024/1772, a to najmä s ohľadom na význam vplyvu vo vzťahu k:

Nie

Áno, ak je splnená prahová hodnota pre kritérium „geografické rozloženie“

Áno, ak je splnená prahová hodnota pre kritérium „geografické rozloženie“

Pole s možnosťou výberu (viac možností):

Opis vplyvu a závažnosti závažného incidentu súvisiaceho s IKT v každom ovplyvnenom členskom štáte vrátane posúdenia vplyvu a závažnosti na:

Nie

Áno, ak je splnená prahová hodnota pre kritérium „geografické rozloženie“

Áno, ak je splnená prahová hodnota pre kritérium „geografické rozloženie“

Alfanumerické

Typ strát údajov, ktoré závažný incident súvisiaci s IKT prináša v súvislosti s dostupnosťou, pravosťou, integritou a dôvernosťou údajov.

Finančné subjekty pri posudzovaní zohľadňujú články 5 a 13 delegovaného nariadenia (EÚ) 2024/1772.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia sa straty údajov týkajú aspoň jedného finančného subjektu.

Nie

Áno, ak je splnené kritérium „straty údajov“

Áno, ak je splnené kritérium „straty údajov“

Pole s možnosťou výberu (viac možností):

Opis vplyvu závažného incidentu súvisiaceho s IKT na dostupnosť, pravosť, integritu a dôvernosť kritických údajov v súlade s článkami 5 a 13 delegovaného nariadenia (EÚ) 2024/1772.

Informácie o vplyve na plnenie obchodných cieľov finančného subjektu alebo na plnenie regulačných požiadaviek.

Finančné subjekty v rámci poskytovaných informácií uvedú, či sú ovplyvnené údaje klientov, údaje iných subjektov (napr. finančných protistrán) alebo údaje samotného finančného subjektu.

Finančný subjekt môže uviesť aj typ údajov, ktorých sa incident týka – najmä či ide o dôverné údaje a o aký typ dôvernosti ide (napr. obchodné/podnikateľské tajomstvo, osobné údaje, služobné tajomstvo): bankové tajomstvo, poisťovacie tajomstvo, tajomstvo platobných služieb atď.).

Informácie môžu zahŕňať aj možné riziká spojené so stratou údajov, napríklad či údaje ovplyvnené incidentom možno použiť na identifikáciu osôb a či ich môže aktér hrozby použiť na získanie úveru alebo pôžičky bez ich súhlasu, na uskutočnenie útokov typu cielené neoprávnené získavanie údajov (spear phishing) s cieľom zverejniť informácie.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia všeobecný opis vplyvu incidentu na ovplyvnené finančné subjekty. V prípade rozdielneho vplyvu sa v opise vplyvu jasne uvedie konkrétny vplyv na jednotlivé finančné subjekty.

Nie

Áno, ak je splnené kritérium „straty údajov“

Áno, ak je splnené kritérium „straty údajov“

Alfanumerické

Informácie týkajúce sa kritéria „kritickosť zasiahnutých služieb“.

Finančné subjekty pri posudzovaní zohľadňujú článok 6 delegovaného nariadenia (EÚ) 2024/1772 vrátane informácií o:

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia vplyv na kritické služby, ktoré sa vzťahujú aspoň na jeden finančný subjekt.

Nie

Áno

Áno

Alfanumerické

Klasifikácia incidentov podľa typu.

Nie

Áno

Áno

Pole s možnosťou výberu (viac možností):

Iné typy incidentov súvisiacich s IKT: finančné subjekty, ktoré v dátovom poli 3.23 vybrali typ incidentu „iné“, uvedú typ incidentu súvisiaceho s IKT

Nie

Áno, ak je v dátovom poli 3.23 vybraný typ incidentu „iné“.

Áno, ak je v dátovom poli 3.23 vybraný typ incidentu „iné“.

Alfanumerické

Uveďte hrozby a techniky, ktoré aktér hrozby používa vrátane:

Nie

Áno, ak je typ incidentu súvisiaceho s IKT v poli 3.23 „súvisiaci s kybernetickou bezpečnosťou“.

Áno, ak je typ incidentu súvisiaceho s IKT v poli 3.23 „súvisiaci s kybernetickou bezpečnosťou“.

Pole s možnosťou výberu (viac možností):

Iné typy techník

Finančné subjekty, ktoré si v dátovom poli 3.25 vybrali typ techník „iné“, uvedú typ techniky.

Nie

Áno, ak je v dátovom poli 3.25 vybraný typ techník „iné“.

Áno, ak je v dátovom poli 3.25 vybraný typ techník „iné“.

Alfanumerické

Uvedenie funkčných oblastí a obchodných procesov, ktorých sa incident týka, vrátane produktov a služieb.

Funkčné oblasti zahŕňajú okrem iného:

Obchodné procesy zahŕňajú okrem iného:

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia ovplyvnené funkčné oblasti a obchodné procesy aspoň v jednom finančnom subjekte.

Nie

Áno

Áno

Alfanumerické

Informácie o tom, či zložky infraštruktúry (servery, operačné systémy, softvér, aplikačné servery, midlvér, sieťové komponenty a iné) podporujúce obchodné procesy boli ovplyvnené závažným incidentom súvisiacim s IKT.

Nie

Áno

Áno

Pole s možnosťou výberu:

Opis vplyvu závažného incidentu súvisiaceho s IKT na zložky infraštruktúry podporujúce obchodné procesy vrátane hardvéru a softvéru.

Hardvér zahŕňa servery, počítače, dátové centrá, prepínače, smerovače, rozbočovače. Softvér zahŕňa operačné systémy, aplikácie, databázy, bezpečnostné nástroje, sieťové komponenty a iné. V opisoch sa opíšu alebo pomenujú ovplyvnené zložky alebo systémy infraštruktúry, a ak sú k dispozícii:

Nie

Áno, ak incident ovplyvnil zložky infraštruktúry podporujúce obchodné procesy

Áno, ak incident ovplyvnil zložky infraštruktúry podporujúce obchodné procesy

Alfanumerické

Informácie o tom, či závažný incident súvisiaci s IKT ovplyvnil finančné záujmy klientov.

Nie

Áno

Áno

Pole s možnosťou výberu:

Špecifikácia orgánov, ktoré boli informované o závažnom incidente súvisiacom s IKT.

S prihliadnutím na rozdiely vyplývajúce z vnútroštátnych právnych predpisov členských štátov chápu finančné subjekty pojem orgány presadzovania práva v širšom zmysle ako orgány verejnej moci oprávnené stíhať počítačovú kriminalitu vrátane polície, orgánov presadzovania práva a prokuratúry.

Nie

Áno

Áno

Pole s možnosťou výberu (viac možností):

Špecifikácia „iných“ typov orgánov, ktoré boli informované o závažnom incidente súvisiacom s IKT.

Ak je vybraná možnosť v dátovom poli 3.31. „Iné“, opis obsahuje podrobnejšie informácie o orgáne, ktorému finančný subjekt predložil informácie o závažnom incidente súvisiacom s IKT.

Nie

Áno, ak finančný subjekt informoval orgány typu „iné“ o závažnom incidente súvisiacom s IKT.

Áno, ak finančný subjekt informoval orgány typu „iné“ o závažnom incidente súvisiacom s IKT

Alfanumerické

Údaj o tom, či finančný subjekt vykonal (alebo plánuje vykonať) akékoľvek dočasné opatrenia, ktoré boli prijaté (alebo sa plánujú prijať) na obnovu po závažnom incidente súvisiacom s IKT.

Nie

Áno

Áno

Booleovské (áno alebo nie)

V informáciách sa opíšu prijaté okamžité opatrenia vrátane izolácie incidentu na úrovni siete, aktivovaných postupov na obídenie incidentu, zablokovaných portov USB, aktivovanej lokality na obnovu po havárii a akýchkoľvek ďalších dočasne zavedených dodatočných bezpečnostných kontrol.

Finančné subjekty uvedú dátum a čas vykonania dočasných opatrení a predpokladaný dátum návratu na primárne miesto. Pri všetkých dočasných opatreniach, ktoré neboli vykonané, ale sú stále plánované, uveďte dátum, do ktorého sa očakáva ich vykonanie.

Ak neboli prijaté žiadne dočasné opatrenia, uveďte dôvod.

Nie

Áno, ak boli prijaté alebo sa plánujú prijať dočasné opatrenia (dátové pole 3.33)

Áno, ak boli prijaté alebo sa plánujú prijať dočasné opatrenia (dátové pole 3.33)

Alfanumerické

Informácie týkajúce sa závažného incidentu súvisiaceho s IKT, ktoré môžu pomôcť identifikovať škodlivú činnosť v sieti alebo informačnom systéme (ukazovatele ohrozenia), v náležitých prípadoch.

Toto pole sa vzťahuje len na tie finančné subjekty, ktoré patria do rozsahu pôsobnosti smernice Európskeho parlamentu a Rady (EÚ) 2022/2555 (1), a na tie finančné subjekty, ktoré sú podľa vnútroštátnych predpisov, ktorými sa transponuje článok 3 smernice (EÚ) 2022/2555, v relevantných prípadoch identifikované ako kľúčové alebo dôležité subjekty.

Ukazovatele narušenia poskytnuté finančným subjektom obsahujú tieto kategórie údajov:

V praxi môže tento typ informácií zahŕňať údaje týkajúce sa inter alia ukazovateľov opisujúcich vzorce sieťovej prevádzky zodpovedajúce známym útokom/komunikácii botnetu, IP adresy počítačov infikovaných škodlivým softvérom (botmi), údaje týkajúce sa „príkazových a riadiacich“ serverov používaných škodlivým softvérom (zvyčajne domény alebo IP adresy) a URL adresy týkajúce sa phishingových stránok alebo webových sídel, na ktorých bol pozorovaný škodlivý softvér alebo exploit kity.

Nie

Áno, ak je v dátovom poli 3.23 vybraný typ incidentu súvisiaci s kybernetickou bezpečnosťou

Áno, ak je v dátovom poli 3.23 vybraný typ incidentu súvisiaci s kybernetickou bezpečnosťou

Alfanumerické

Obsah záverečnej správy

Klasifikácia hlavnej príčiny závažného incidentu súvisiaceho s IKT na vysokej úrovni v rámci typov incidentov vrátane týchto kategórií na vysokej úrovni:

Nie

Nie

Áno

Pole s možnosťou výberu (viac možností):

Podrobná klasifikácia hlavných príčin závažných incidentov súvisiacich s IKT v rámci typov incidentov vrátane nasledujúcich podrobných kategórií spojených s kategóriami na vysokej úrovni, ktoré sú uvedené v dátovom poli 4.1.:

Finančné subjekty zohľadňujú, že v prípade opakujúcich sa závažných incidentov súvisiacich s IKT sa berie do úvahy konkrétna zjavná hlavná príčina incidentu, a nie rozsiahle kategórie zahrnuté v tejto oblasti.

Nie

Nie

Áno

Pole s možnosťou výberu (viac možností):

Dodatočná klasifikácia hlavných príčin závažného incidentu súvisiaceho s IKT v rámci typu incidentu vrátane týchto dodatočných klasifikačných kategórií spojených s podrobnými kategóriami, ktoré sa majú uvádzať v dátovom poli 4.2.

Pole je povinné pre záverečnú správu, ak sa v dátovom poli 4.2 uvádzajú špecifické kategórie, ktoré si vyžadujú ďalšiu granularitu.

Nie

Nie

Áno

Pole s možnosťou výberu (viac možností):

Finančné subjekty, ktoré v dátovom poli 4.2. zvolili „iný“ typ hlavnej príčiny, uvedú iné typy typov hlavných príčin

Nie

Nie

Áno, ak je v dátovom poli 4.2. vybraný typ hlavnej príčiny „iné“.

Alfanumerické

Opis postupnosti udalostí, ktoré viedli k závažnému incidentu súvisiacemu s IKT, a opis toho, ako má závažný incident súvisiaci s IKT podobnú zjavnú hlavnú príčinu, ak je tento incident klasifikovaný ako opakujúci sa incident, vrátane stručného opisu všetkých základných dôvodov a primárnych faktorov, ktoré prispeli k výskytu závažného incidentu súvisiaceho s IKT.

V prípade, že došlo k zlomyseľnému konaniu, opis spôsobu vykonania zlomyseľného konania vrátane použitých taktík, techník a postupov, ako aj vstupného vektora závažného incidentu súvisiaceho s IKT vrátane prípadného opisu vyšetrovania a analýzy, ktoré viedli k identifikácii hlavných príčin.

Nie

Nie

Áno

Alfanumerické

Ďalšie informácie týkajúce sa prijatých/plánovaných opatrení na trvalé vyriešenie závažného incidentu súvisiaceho s IKT a na zabránenie jeho opakovaniu.

Poznatky získané zo závažného incidentu súvisiaceho s IKT.

Opis musí obsahovať tieto body:

Nie

Nie

Áno

Alfanumerické

Dátum a čas, kedy sa riešila hlavná príčina incidentu.

Nie

Nie

Áno

Norma ISO 8601 UTC (RRRR-MM-DD hh. mm.ss)

Dátum a čas vyriešenia incidentu.

Nie

Nie

Áno

Norma ISO 8601 UTC (RRRR-MM-DD hh: mm.ss)

Opisy dôvodov, prečo sa dátum trvalého riešenia závažných incidentov súvisiacich s IKT líši od pôvodne plánovaného dátumu vykonania, v náležitých prípadoch.

Nie

Nie

Áno

Alfanumerické

Posúdenie, či závažný incident súvisiaci s IKT predstavuje riziko pre zásadné funkcie v zmysle článku 2 ods. 1 bodu 35 smernice Európskeho parlamentu a Rady 2014/59/EÚ (2).

Subjekty uvedené v článku 1 ods. 1 smernice 2014/59/EÚ uvedú, či incident predstavuje riziko pre zásadné funkcie v zmysle článku 2 ods. 1 bodu 35 smernice 2014/59/EÚ, a nahlásia ho vo vzore Z07.01 vykonávacieho nariadenia Komisie (EÚ) 2018/1624 (3) a priradia ku konkrétnemu subjektu vo vzore Z07.02.

Nie

Nie

Áno, ak incident predstavuje riziko pre zásadné funkcie finančných subjektov podľa článku 2 ods. 1 bodu 35 smernice 2014/59/EÚ.

Alfanumerické

Opis toho, či a ak áno, ako závažný incident súvisiaci s IKT ovplyvnil riešiteľnosť krízovej situácie subjektu alebo skupiny.

Subjekty uvedené v článku 1 ods. 1 smernice 2014/59/EÚ poskytujú informácie o tom, či a prípadne ako závažný incident súvisiaci s IKT ovplyvnil riešiteľnosť krízovej situácie subjektu alebo skupiny.

Tieto subjekty takisto uvedú, či závažný incident súvisiaci s IKT ovplyvňuje platobnú schopnosť alebo likviditu finančného subjektu, a potenciálnu kvantifikáciu vplyvu.

Tieto subjekty poskytnú aj informácie o vplyve na prevádzkovú kontinuitu, vplyve na možnosť riešenia krízových situácií subjektu, každom dodatočnom vplyve na náklady a straty vyplývajúceho zo závažného incidentu súvisiaceho s IKT vrátane vplyvu na kapitálovú pozíciu finančného subjektu, ako aj o tom, či sú zmluvné dojednania o využívaní IKT služieb stále spoľahlivé a plne vynútiteľné v prípade riešenia krízovej situácie subjektu.

Nie

Nie

Áno, ak incident ovplyvnil riešiteľnosť krízovej situácie subjektu alebo skupiny.

Alfanumerické

Podrobné informácie o prahových hodnotách, ktoré nakoniec dosiahla závažný incident súvisiaci s IKT vo vzťahu ku kritériu „hospodársky vplyv“ uvedeným v článkoch 7 a 14 delegovaného nariadenia (EÚ) 2024/1772.

Nie

Nie

Áno

Alfanumerické

Celková výška hrubých priamych a nepriamych nákladov a strát, ktoré vznikli finančnému subjektu v dôsledku závažného incidentu súvisiaceho s IKT vrátane:

Finančné subjekty zohľadňujú vo svojom posúdení článok 7 ods. 1 a 2 delegovaného nariadenia (EÚ) 2024/1772. Finančné subjekty do tohto údaju nezahŕňajú žiadny typ finančnej náhrady.

Finančné subjekty vykazujú peňažnú sumu ako kladnú hodnotu.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia finančné subjekty zohľadňujú celkovú výšku nákladov a strát vo všetkých finančných subjektoch.

Finančné subjekty vykazujú údajový bod v jednotkách s minimálnou presnosťou rovnajúcou sa tisícom jednotiek.

Nie

Nie

Áno

Peňažná suma

Celková výška vrátených finančných prostriedkov.

Finančné náhrady sa vzťahujú na pôvodnú stratu spôsobenú incidentom, a to nezávisle od času, keď sa získajú finančné náhrady vo forme finančných prostriedkov alebo prílevu hospodárskych úžitkov.

Finančné subjekty vykazujú peňažnú sumu ako kladnú hodnotu.

V prípade súhrnného nahlasovania uvedeného v článku 7 tohto nariadenia finančné subjekty zohľadňujú celkovú výšku finančných náhrad vo všetkých finančných subjektoch.

Nie

Nie

Áno

Peňažná suma

Finančné subjekty vykazujú údajový bod v jednotkách s minimálnou presnosťou rovnajúcou sa tisícom jednotiek

Informácie o tom, či sa opakovane vyskytol viac ako jeden menej závažný incident súvisiaci s IKT, ktorý sa spoločne považuje za závažný incident v zmysle článku 8 ods. 2 delegovaného nariadenia (EÚ) 2024/1772.

Finančné subjekty uvedú, či sa menej závažné incidenty súvisiace s IKT opakovali a či sa spoločne považujú za jeden závažný incident súvisiaci s IKT.

Finančné subjekty uvedú aj počet výskytov týchto menej závažných incidentov súvisiacich s IKT.

Nie

Nie

Áno, ak závažný incident zahŕňa viac ako jeden menej závažný opakujúci sa incident.

Alfanumerické

Ak finančné subjekty hlásia opakujúce sa incidenty súvisiace s IKT, dátum a čas, kedy sa vyskytol prvý incident súvisiaci s IKT.

Nie

Nie

Áno, v prípade opakujúcich sa incidentov

Norma ISO 8601 UTC (RRRR-MM-DD hh. mm.ss)

Číslo poľa

Dátové pole

1

Názov subjektu, ktorý predkladá oznámenie

2

Identifikačný kód subjektu, ktorý predkladá oznámenie

3

Typ finančného subjektu, ktorý predkladá oznámenie

4

Názov finančného subjektu

5

Identifikátor právneho subjektu finančného subjektu

6

Meno hlavnej kontaktnej osoby

7

E-mail: hlavnej kontaktnej osoby

8

Telefón hlavnej kontaktnej osoby

9

Meno druhej kontaktnej osoby

10

E-mail: druhej kontaktnej osoby

11

Telefón druhej kontaktnej osoby

12

Dátum a čas zistenia kybernetickej hrozby

13

Opis významnej kybernetickej hrozby

14

Informácie o potenciálnom vplyve

15

Klasifikačné kritériá potenciálnych incidentov

16

Stav kybernetickej hrozby

17

Opatrenia prijaté na zabránenie naplneniu

18

Oznámenie ostatným zainteresovaným stranám

19

Ukazovatele ohrozenia

20

Ďalšie relevantné informácie

Dátové pole

Opis

Povinné pole

Druh poľa

Úplný právny názov subjektu, ktorý predkladá oznámenie.

Áno

Alfanumerické

Identifikačný kód subjektu, ktorý predkladá oznámenie.

Ak finančné subjekty predkladajú oznámenie/správu, identifikačným kódom je identifikátor právneho subjektu (LEI), čo je jedinečný 20-miestny alfanumerický kód podľa normy ISO 17442-1:2020.

Ak externý poskytovateľ predkladá správu za finančný subjekt, môže použiť identifikačný kód uvedený vo vykonávacích technických predpisoch prijatých podľa článku 28 ods. 9 nariadenia (EÚ) 2022/2554.

Áno

Alfanumerické

Typ subjektu podľa článku 2 ods. 1 písm. a) až t) nariadenia (EÚ) 2022/2554, ktorý predkladá správu.

Áno, ak správu neposkytuje priamo ovplyvnený finančný subjekt.

Pole s možnosťou výberu (viacnásobný výber):

Úplný právny názov finančného subjektu, ktorý oznamuje významnú kybernetickú hrozbu.

Áno, ak je finančný subjekt iný ako subjekt, ktorý predkladá oznámenie.

Alfanumerické

Identifikátor právneho subjektu (LEI) finančného subjektu, ktorý oznamuje významnú kybernetickú hrozbu, pridelený v súlade s Medzinárodnou organizáciou pre normalizáciu.

Áno, ak je finančný subjekt oznamujúci významnú kybernetickú hrozbu odlišný od subjektu, ktorý predkladá správu

Jedinečný alfanumerický 20-znakový kód podľa normy ISO 17442-1:2020

Meno a priezvisko hlavnej kontaktnej osoby finančného subjektu.

Áno

Alfanumerické

E-mailová adresa hlavnej kontaktnej osoby, ktorú môže príslušný orgán použiť na následnú komunikáciu.

Áno

Alfanumerické

Telefónne číslo hlavnej kontaktnej osoby, ktoré môže príslušný orgán použiť na následnú komunikáciu.

Telefónne číslo sa uvádza so všetkými medzinárodnými predvoľbami (napr. +33XXXXXXXXX)

Áno

Alfanumerické

Meno a priezvisko druhej kontaktnej osoby finančného subjektu alebo subjektu, ktorý predkladá oznámenie v mene finančného subjektu, ak je k dispozícii.

Áno, ak je k dispozícii meno a priezvisko druhej kontaktnej osoby finančného subjektu alebo subjektu, ktorý predkladá oznámenie za finančný subjekt.

Alfanumerické

E-mailová adresa druhej kontaktnej osoby alebo funkčná e-mailová adresa tímu, ktorú môže príslušný orgán použiť na následnú komunikáciu, ak je k dispozícii.

Áno, ak je k dispozícii e-mailová adresa druhej kontaktnej osoby alebo funkčná e-mailová adresa tímu, ktorú môže príslušný orgán použiť na následnú komunikáciu.

Alfanumerické

Telefónne číslo druhej kontaktnej osoby, ktoré môže príslušný orgán použiť na následnú komunikáciu, ak je k dispozícii.

Telefónne číslo sa uvádza so všetkými medzinárodnými predvoľbami (napr. +33XXXXXXXXX)

Áno, ak je k dispozícii telefónne číslo druhej kontaktnej osoby, ktoré môže príslušný orgán použiť na následnú komunikáciu.

Alfanumerické

Dátum a čas, kedy sa finančný subjekt dozvedel o významnej kybernetickej hrozbe.

Áno

Norma ISO 8601 UTC (RRRR-MM-DD hh: mm.ss)

Opis najdôležitejších aspektov významnej kybernetickej hrozby.

Finančné subjekty poskytujú:

Áno

Alfanumerické

Informácie o potenciálnom vplyve kybernetickej hrozby na finančný subjekt, jeho klientov alebo finančné protistrany, ak sa kybernetická hrozba naplnila

Áno

Alfanumerické

Klasifikačné kritériá, ktoré by mohli viesť k nahláseniu závažného incidentu, ak by sa kybernetická hrozba naplnila.

Áno

Pole s možnosťou výberu (viac možností):

Informácie o stave kybernetickej hrozby pre finančný subjekt a o tom, či došlo k nejakým zmenám v aktivite hrozby.

Ak kybernetická hrozba prestala komunikovať s informačnými systémami finančného subjektu, jej stav možno označiť ako neaktívny. Ak má finančný subjekt informácie, že hrozba je naďalej aktívna voči iným stranám alebo finančnému systému ako celku, stav sa označí ako aktívny.

Áno

Pole s možnosťou výberu:

Prípadné informácie na vysokej úrovni o opatreniach, ktoré finančný subjekt prijal s cieľom zabrániť naplneniu významných kybernetických hrozieb.

Áno

Alfanumerické

Informácie o oznámení kybernetickej hrozby iným finančným subjektom alebo orgánom.

Áno, ak boli o kybernetickej hrozbe informované iné finančné subjekty alebo orgány.

Alfanumerické

Informácie týkajúce sa významnej hrozby, ktoré môžu pomôcť identifikovať škodlivú činnosť v sieti alebo informačnom systéme (ukazovatele ohrozenia), v náležitých prípadoch.

Ukazovatele narušenia poskytované finančným subjektom môžu zahŕňať tieto kategórie údajov, nie však výlučne:

Tento typ informácií môže zahŕňať údaje týkajúce sa ukazovateľov opisujúcich vzorce sieťovej prevádzky zodpovedajúce známym útokom/komunikácii botnetu, IP adresy počítačov infikovaných škodlivým softvérom (botmi), údaje týkajúce sa „príkazových a riadiacich“ serverov používaných škodlivým softvérom (zvyčajne domény alebo IP adresy) a URL adresy týkajúce sa phishingových stránok alebo webových sídel, na ktorých bol pozorovaný škodlivý softvér alebo exploit kity.

Áno, ak sú k dispozícii informácie o ukazovateľoch ohrozenia súvisiacich s kybernetickou hrozbou.

Alfanumerické

Akékoľvek ďalšie relevantné informácie o významnej kybernetickej hrozbe

Áno, v náležitých prípadoch a ak sú k dispozícii ďalšie informácie, ktoré nie sú uvedené vo vzore.

Alfanumerické