CELEX:32025R0301: Regulamentul delegat (UE) 2025/301 al Comisiei din 23 octombrie 2024 de completare a Regulamentului (UE) 2022/2554 al Parlamentului European și al Consiliului în ceea ce privește standardele tehnice de reglementare care precizează conținutul și termenele pentru notificarea inițială privind incidentele majore legate de TIC și pentru raportul intermediar și raportul final aferente, precum și conținutul notificării voluntare privind amenințările cibernetice semnificative
|
Redacția Lex24 |
| Publicat in Repertoriu EUR-Lex, 16/03/2025 |
| |
Informatii
Data documentului: 23/10/2024; Data adoptăriiData intrării în vigoare: 12/03/2025; intrare în vigoare data publicării +20 a se vedea articolul 7
Data încetării: No end date
Emitent: Comisia Europeană, Direcția Generală Stabilitate Financiară, Servicii Financiare și Uniunea Piețelor de Capital
Formă: Repertoriu EUR-Lex
 |
Jurnalul Ofícial |
RO Seria L |
|
2025/301 |
20.2.2025 |
REGULAMENTUL DELEGAT (UE) 2025/301 AL COMISIEI
din 23 octombrie 2024
de completare a Regulamentului (UE) 2022/2554 al Parlamentului European și al Consiliului în ceea ce privește standardele tehnice de reglementare care precizează conținutul și termenele pentru notificarea inițială privind incidentele majore legate de TIC și pentru raportul intermediar și raportul final aferente, precum și conținutul notificării voluntare privind amenințările cibernetice semnificative
(Text cu relevanță pentru SEE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (1), în special articolul 20 al treilea paragraf,
întrucât:
|
(1) |
Pentru a asigura armonizarea și simplificarea cerințelor de notificare și raportare pentru incidentele majore legate de TIC menționate la articolul 19 alineatul (4) din Regulamentul (UE) 2022/2554, termenele pentru raportarea incidentelor majore legate de TIC ar trebui să urmeze o abordare coerentă pentru toate tipurile de entități financiare. Din aceste motive, termenele ar trebui, de asemenea, în cea mai mare măsură posibilă, să urmeze o abordare coerentă cu cerințele prevăzute în Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului (2) și să aibă un efect cel puțin echivalent cu acestea. |
|
(2) |
Pentru a se evita impunerea unei sarcini de raportare nejustificate asupra entităților financiare într-un moment în care acestea gestionează incidentul legat de TIC, conținutul notificării inițiale ar trebui să se limiteze la cele mai importante informații. Pentru a putea lua măsuri de supraveghere adecvate, autoritățile competente trebuie să primească informații cu privire la incidentele majore legate de TIC cât mai curând posibil după ce entitatea financiară a clasificat un incident legat de TIC ca fiind major. În consecință, termenul pentru depunerea unei notificări inițiale, astfel cum se menționează la articolul 19 alineatul (4) litera (a) din Regulamentul (UE) 2022/2554, ar trebui să fie cât mai scurt posibil după ce un incident legat de TIC a fost clasificat ca fiind major, permițând în același timp un anumit grad de flexibilitate, în special pentru modelele de afaceri din sectorul serviciilor care nu sunt deosebit de urgente, în cazul în care entitățile financiare au nevoie de mai mult timp pentru a trata incidentul legat de TIC după ce au aflat de acesta. |
|
(3) |
După ce primesc notificarea inițială, autoritățile competente ar trebui să primească informații mai detaliate cu privire la incidentul legat de TIC în raportul intermediar și toate informațiile relevante din raportul final. Informațiile din rapoartele respective ar trebui să permită autorităților competente să analizeze mai detaliat incidentul legat de TIC și să evalueze măsurile de supraveghere pe care ar intenționa să le întreprindă. |
|
(4) |
Prin urmare, termenele de raportare menționate la articolul 20 primul paragraf litera (a) punctul (ii) din Regulamentul (UE) 2022/2554 ar trebui să stabilească un echilibru între necesitatea ca autoritățile competente să primească rapid informațiile și necesitatea de a oferi entităților financiare suficient timp pentru a obține informații complete și exacte. |
|
(5) |
Ținând seama de criteriile prevăzute la articolul 20 primul paragraf litera (a) din Regulamentul (UE) 2022/2554, termenele de raportare nu ar trebui să reprezinte o sarcină disproporționată pentru microîntreprinderi și pentru alte entități financiare care nu sunt semnificative. În plus, pentru a se evita o sarcină disproporționată asupra entităților financiare, termenele de raportare ar trebui să țină seama de weekenduri și de zilele nelucrătoare. |
|
(6) |
Întrucât amenințările cibernetice semnificative urmează să fie notificate în mod voluntar, conținutul acestor notificări nu ar trebui să impună nicio sarcină asupra entităților financiare și ar trebui să fie mai limitat decât informațiile solicitate în cazul incidentelor majore legate de TIC. |
|
(7) |
Prezentul regulament se bazează pe proiectul de standarde tehnice de reglementare pe care autoritățile europene de supraveghere l-au transmis Comisiei. |
|
(8) |
Autoritățile europene de supraveghere au efectuat consultări publice deschise cu privire la proiectul de standarde tehnice de reglementare pe care se bazează prezentul regulament, a analizat costurile și beneficiile potențiale aferente și a solicitat avizul Grupului părților interesate din domeniul bancar, instituit în conformitate cu articolul 37 din Regulamentele (UE) nr. 1093/2010 (3), (UE) nr. 1094/2010 (4) și (UE) nr. 1095/2010 (5) ale Parlamentului European și ale Consiliului. |
|
(9) |
Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (6) și a emis un aviz pozitiv la 22 iulie 2024. Orice prelucrare a datelor cu caracter personal care intră în domeniul de aplicare al prezentului regulament ar trebui efectuată în conformitate cu principiile și dispozițiile aplicabile în materie de protecție a datelor din Regulamentul (UE) 2018/1725, |
ADOPTĂ PREZENTUL REGULAMENT:
Articolul 1
Informații generale care trebuie furnizate în notificările inițiale și în rapoartele intermediare și finale privind incidentele majore legate de TIC
Entitățile financiare includ în notificarea inițială, în raportul intermediar și în raportul final, astfel cum se menționează la articolul 19 alineatul (4) din Regulamentul (UE) 2022/2554, următoarele informații generale:
|
(a) |
tipul de transmitere (notificare inițială, raport intermediar sau raport final); |
|
(b) |
denumirea entității financiare, codul LEI al acesteia și tipul de entitate financiară, astfel cum se menționează la articolul 2 alineatul (1) din Regulamentul (UE) 2022/2554; |
|
(c) |
denumirea și codul de identificare al entității care transmite notificarea inițială sau raportul intermediar ori final pentru entitatea financiară; |
|
(d) |
după caz, denumirile și codurile LEI ale tuturor entităților financiare care fac obiectul notificării inițiale agregate sau al raportului intermediar ori final; |
|
(e) |
datele de contact ale persoanelor care au responsabilitatea de a comunica autorității competente incidentul major legat de TIC; |
|
(f) |
dacă este cazul, identificarea întreprinderii-mamă a grupului din care face parte entitatea financiară; |
|
(g) |
în cazul în care există un impact monetar, moneda în care se calculează sumele. |
Articolul 2
Informații specifice care trebuie furnizate în notificările inițiale
Notificările inițiale menționate la articolul 19 alineatul (4) litera (a) din Regulamentul (UE) 2022/2554 trebuie să conțină cel puțin toate informațiile specifice următoare:
|
(a) |
codul de referință al incidentului atribuit de entitatea financiară; |
|
(b) |
data detectării, ora detectării și clasificarea incidentului în temeiul articolului 8 din Regulamentul delegat (UE) 2024/1772 al Comisiei (7); |
|
(c) |
o descriere a incidentului legat de TIC; |
|
(d) |
criteriile prevăzute la articolele 1-8 din Regulamentul delegat (UE) 2024/1772, pe baza cărora entitatea financiară a clasificat incidentul legat de TIC ca fiind major; |
|
(e) |
statele membre afectate de incidentul legat de TIC; |
|
(f) |
informații privind modul în care a fost descoperit incidentul legat de TIC; |
|
(g) |
dacă sunt disponibile, informații cu privire la originea incidentului legat de TIC; |
|
(h) |
informații din care să reiasă dacă entitatea financiară a activat un plan de asigurare a continuității activității; |
|
(i) |
dacă este cazul, informații cu privire la reclasificarea incidentului legat de TIC considerat major ca nefiind major; |
|
(j) |
dacă sunt disponibile, orice alte informații relevante. |
Articolul 3
Informații specifice care trebuie furnizate în rapoartele intermediare
Rapoartele intermediare menționate la articolul 19 alineatul (4) litera (b) din Regulamentul (UE) 2022/2554 trebuie să conțină cel puțin toate informațiile specifice următoare:
|
(a) |
dacă este cazul, codul de referință al incidentului furnizat de autoritatea competentă; |
|
(b) |
data și ora producerii incidentului legat de TIC; |
|
(c) |
după caz, data și ora la care entitatea financiară și-a reluat activitățile obișnuite; |
|
(d) |
informații privind în care au fost respectate criteriile prevăzute la articolele 1-8 din Regulamentul delegat (UE) 2024/1772, pe baza cărora entitatea financiară a clasificat incidentul legat de TIC ca fiind major; |
|
(e) |
tipul de incident legat de TIC; |
|
(f) |
după caz, amenințări și tehnici utilizate de actorul amenințării; |
|
(g) |
domeniile funcționale și procesele operaționale afectate; |
|
(h) |
componentele de infrastructură afectate care sprijină procesele operaționale; |
|
(i) |
impactul asupra intereselor financiare ale clienților; |
|
(j) |
informații privind raportarea incidentului legat de TIC altor autorități; |
|
(k) |
acțiuni sau măsuri temporare luate sau planificate de entitatea financiară pentru a se redresa după incidentul legat de TIC; |
|
(l) |
dacă este cazul, informații privind indicatorii de compromitere. |
Articolul 4
Informații specifice care trebuie furnizate în rapoartele finale
Rapoartele finale menționate la articolul 19 alineatul (4) litera (c) din Regulamentul (UE) 2022/2554 trebuie să conțină toate informațiile specifice următoare:
|
(a) |
informații privind cauzele principale ale incidentului legat de TIC; |
|
(b) |
datele și orele în care a fost soluționat incidentul legat de TIC și cauza principală abordată (cauzele principale abordate); |
|
(c) |
informații privind soluționarea incidentului legat de TIC; |
|
(d) |
dacă este cazul, informații relevante pentru autoritățile de rezoluție; |
|
(e) |
informații privind costurile și pierderile directe și indirecte care decurg din incidentul legat de TIC și informații privind recuperările financiare; |
|
(f) |
dacă este cazul, informații privind incidentele recurente legate de TIC. |
Articolul 5
Termenele pentru notificarea inițială și pentru rapoartele intermediare și raportul final
(1) Entitățile financiare transmit notificarea inițială, rapoartele intermediare și raportul final menționate la articolul 19 alineatul (4) literele (a), (b) și (c) din Regulamentul (UE) 2022/2554 în următoarele termene:
|
(a) |
pentru raportul inițial: cât mai curând posibil, dar în orice caz, în termen de patru ore de la clasificarea incidentului legat de TIC ca fiind un incident major legat de TIC și nu mai târziu de 24 de ore din momentul în care entitatea financiară a luat cunoștință de incidentul legat de TIC; |
|
(b) |
pentru raportul intermediar: cel târziu în termen de 72 de ore de la transmiterea notificării inițiale, chiar și în cazul în care statutul sau gestionarea incidentului nu s-a schimbat, astfel cum se menționează la articolul 19 alineatul (4) litera (b) din Regulamentul (UE) 2022/2554. Entitățile financiare prezintă un raport intermediar actualizat fără întârzieri nejustificate și, în orice caz, atunci când se reiau activitățile obișnuite; |
|
(c) |
pentru raportul final: în termen de cel mult o lună de la prezentarea raportului intermediar sau, după caz, de la ultimul raport intermediar actualizat. |
(2) În cazul în care entitatea financiară nu a clasificat un incident legat de TIC ca fiind major în termen de 24 de ore din momentul în care entitatea financiară a luat cunoștință de incidentul legat de TIC, dar clasifică incidentul legat de TIC ca fiind major într-o etapă ulterioară, entitatea financiară transmite notificarea inițială în termen de patru ore de la clasificarea incidentului legat de TIC drept incident major.
(3) Entitățile financiare care nu sunt în măsură să transmită notificarea inițială, raportul intermediar sau raportul final în termenele prevăzute la alineatul (1) informează autoritatea competentă în acest sens fără întârzieri nejustificate, dar nu mai târziu de termenele aferente transmiterii notificării sau a raportului și explică motivele întârzierii.
(4) În cazul în care termenul pentru depunerea unei notificări inițiale, a unui raport intermediar sau a unui raport final cade în weekend sau într-o zi de sărbătoare legală în statul membru al entității financiare raportoare, entitatea financiară poate transmite notificarea inițială, rapoartele intermediare sau finale până la prânz în următoarea zi lucrătoare.
(5) Alineatul (4) nu se aplică transmiterii unei notificări inițiale sau a unui raport intermediar de către instituțiile de credit, contrapărțile centrale, operatorii locurilor de tranzacționare și alte entități financiare identificate ca fiind entități esențiale sau importante în temeiul articolului 3 din Directiva (UE) 2022/2555.
(6) Autoritățile competente pot decide că alineatul (4) nu se aplică pentru transmiterea unei notificări inițiale sau a unui raport intermediar de către entitățile financiare, altele decât cele menționate la alineatul (5), care sunt semnificative sau au un caracter sistemic pentru sectorul financiar la nivel național sau la nivelul Uniunii. Autoritățile competente notifică decizia lor entităților financiare identificate. Decizia autorității competente se aplică numai în ceea ce privește incidentele raportate după data notificării deciziei de către autoritatea competentă entităților financiare identificate.
Articolul 6
Conținutul notificării voluntare a amenințărilor cibernetice semnificative
Conținutul notificării voluntare în legătură cu amenințările cibernetice semnificative, astfel cum se menționează la articolul 19 alineatul (2) din Regulamentul (UE) 2022/2554, acoperă toate elementele următoare:
|
(a) |
informații generale privind entitatea financiară notificatoare, astfel cum se prevede la articolul 1; |
|
(b) |
data și ora la care a fost detectată amenințarea cibernetică semnificativă și orice alte mărci temporale relevante legate de amenințarea cibernetică semnificativă; |
|
(c) |
o descriere a amenințării cibernetice semnificative; |
|
(d) |
informații privind impactul potențial al amenințării cibernetice semnificative asupra entității financiare, a clienților săi sau a contrapărților financiare; |
|
(e) |
criteriile de clasificare care ar fi declanșat un raport privind un incident major prevăzut la articolele 1-8 din regulamentul delegat (UE) 2024/1772 dacă amenințarea cibernetică s-ar fi materializat; |
|
(f) |
informații referitoare la situația amenințării cibernetice semnificative și la orice modificare a activității de amenințare; |
|
(g) |
dacă este cazul, o descriere a acțiunilor întreprinse de entitatea financiară pentru a preveni materializarea amenințărilor cibernetice semnificative; |
|
(h) |
informații privind orice notificare a amenințării cibernetice semnificative către alte entități financiare sau autorități; |
|
(i) |
dacă este cazul, informații privind indicatorii de compromitere; |
|
(j) |
dacă sunt disponibile, orice alte informații relevante. |
Articolul 7
Intrare în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Bruxelles, 23 octombrie 2024.
Pentru Comisie
Președinta
Ursula VON DER LEYEN
(1)
JO L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(3) Regulamentul (UE) nr. 1093/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea Bancară Europeană), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/78/CE a Comisiei (JO L 331, 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(4) Regulamentul (UE) nr. 1094/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea Europeană de Asigurări și Pensii Ocupaționale) de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/79/CE a Comisiei (JO L 331, 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(5) Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea europeană pentru valori mobiliare și piețe), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/77/CE a Comisiei (JO L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(6) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(7) Regulamentul delegat (UE) 2024/1772 al Comisiei din 13 martie 2024 de completare a Regulamentului (UE) 2022/2554 al Parlamentului European și al Consiliului în ceea ce privește standardele tehnice de reglementare care precizează criteriile de clasificare a incidentelor legate de TIC și a amenințărilor cibernetice, stabilesc pragurile de semnificație și detaliile rapoartelor privind incidentele majore (JO L, 2024/1772, 25.6.2024 ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/301/oj
ISSN 1977-0782 (electronic edition)
