Aktualisiert 18/09/2024
In Kraft

Ursprungsrechtsakt
Änderungen
Suche im Rechtsakt
DORA ToolDelegierte Verordnung 2024/1772
Artikel 10

Artikel 10 - Hohe Wesentlichkeitsschwellen für die Bestimmung erheblicher Cyberbedrohungen

Artikel 10

Hohe Wesentlichkeitsschwellen für die Bestimmung erheblicher Cyberbedrohungen

Für die Zwecke von Artikel 18 Absatz 2 der Verordnung (EU) 2022/2554 wird eine Cyberbedrohung als erheblich angesehen, wenn alle folgenden Bedingungen erfüllt sind:

a)

Die Cyberbedrohung könnte nach den verfügbaren Informationen des Finanzunternehmens bei Eintritt kritische oder wichtige Funktionen des Finanzunternehmens beeinträchtigen oder beeinträchtigt haben oder könnte andere Finanzunternehmen, Drittdienstleister, Kunden oder finanzielle Gegenparteien beeinträchtigen.

b)

Die Cyberbedrohung hat eine hohe Eintrittswahrscheinlichkeit bei dem Finanzunternehmen oder bei anderen Finanzunternehmen, wenn mindestens die folgenden Elemente berücksichtigt werden:

i)

die mit der unter Buchstabe a genannten Cyberbedrohung zusammenhängenden einschlägigen Risiken, insbesondere auch potenzielle Schwachstellen der Systeme des Finanzunternehmens, die ausgenutzt werden können;

ii)

die Fähigkeiten und Absichten der Angreifer, soweit dem Finanzunternehmen bekannt;

iii)

das Anhalten der Bedrohung und etwaige Kenntnisse über bisherige Vorfälle, die sich auf das Finanzunternehmen oder dessen Drittdienstleister, Kunden oder finanzielle Gegenparteien ausgewirkt haben.

c)

Die Cyberbedrohung könnte bei Eintritt das folgende Kriterium oder einen der folgenden Schwellenwerte erfüllen:

i)

das in Artikel 18 Absatz 1 Buchstabe e der Verordnung (EU) 2022/2554 genannte Kriterium der Kritikalität der Dienste, wie in Artikel 6 der vorliegenden Verordnung ausgeführt;

ii)

die in Artikel 9 Absatz 1 ausgeführte Wesentlichkeitsschwelle;

iii)

die in Artikel 9 Absatz 4 ausgeführte Wesentlichkeitsschwelle.

Kommt das Finanzunternehmen je nach Art der Cyberbedrohung und den verfügbaren Informationen zu dem Schluss, dass die in Artikel 9 Absätze 2, 3, 5 und 6 genannten Wesentlichkeitsschwellen erreicht werden könnten, so können diese Schwellenwerte ebenfalls berücksichtigt werden.