(1)

Die Verordnung (EU) 2022/2554 zielt darauf ab, die Anforderungen für die Meldung von IKT-bezogenen Vorfällen und von zahlungsbezogenen Betriebs- oder Sicherheitsvorfällen, die Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute betreffen, (im Folgenden „Vorfälle“) zu harmonisieren und zu straffen. Da die Meldeanforderungen für 20 unterschiedliche Arten von Finanzunternehmen gelten, sollten die Klassifizierungskriterien und Wesentlichkeitsschwellen für die Bestimmung schwerwiegender Vorfälle und erheblicher Cyberbedrohungen auf eine einfache, harmonisierte und kohärente Weise festgelegt werden, die den Besonderheiten der Dienstleistungen und Tätigkeiten aller relevanten Finanzunternehmen Rechnung trägt.

(2)

Um Verhältnismäßigkeit sicherzustellen, sollten die Klassifizierungskriterien und Wesentlichkeitsschwellen die Größe und das Gesamtrisikoprofil sowie die Art, den Umfang und die Komplexität der Dienstleistungen aller Finanzunternehmen widerspiegeln. Darüber hinaus sollten die Kriterien und Wesentlichkeitsschwellen so konzipiert sein, dass sie für alle Finanzunternehmen unabhängig von deren Größe und Risikoprofil in kohärenter Weise gelten und kleineren Finanzunternehmen keinen unverhältnismäßigen Meldeaufwand auferlegen. Jedoch sollte für Fälle, in denen eine erhebliche Zahl von Kunden von einem Vorfall betroffen ist, der den geltenden Schwellenwert für sich genommen nicht überschreitet, ein absoluter Schwellenwert festgelegt werden, der hauptsächlich auf größere Finanzunternehmen abstellt.

(3)

Im Falle bereits vor Inkrafttreten der Verordnung (EU) 2022/2554 bestehender Rahmenwerke für die Meldung von Vorfällen sollte den Finanzunternehmen Kontinuität gewährleistet werden. Deshalb sollten die Klassifizierungskriterien und Wesentlichkeitsschwellen auf die EBA-Leitlinien für die Meldung schwerwiegender Vorfälle gemäß der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates (2), auf die Leitlinien für die regelmäßige Unterrichtung und die Meldung wesentlicher Änderungen an die ESMA durch Transaktionsregister, auf den EZB/SSM-Rahmen für die Meldung von Cybervorfällen und auf andere einschlägige Leitlinien abgestimmt sein und sich daran orientieren. Die Klassifizierungskriterien und Schwellenwerte sollten auch für Finanzunternehmen geeignet sein, die vor der Verordnung (EU) 2022/2554 noch keinen Anforderungen für die Meldung von Vorfällen unterlagen.

(4)

Was das Klassifizierungskriterium „Wert und Anzahl der betroffenen Transaktionen“ betrifft, so ist der Begriff der Transaktion weit gefasst und beinhaltet verschiedene Tätigkeiten und Dienstleistungen aus den für Finanzunternehmen geltenden sektorspezifischen Rechtsakten. Für die Zwecke dieses Klassifizierungskriteriums sollten Zahlungsvorgänge und alle Formen des Austauschs von Finanzinstrumenten, Kryptowerten, Waren oder anderen Vermögenswerten, auch in Form von Einschüssen, Sicherheiten oder Pfandrechten, sowohl gegen Bargeld als auch gegen jeden anderen Vermögenswert, abgedeckt werden. Alle Transaktionen mit Vermögenswerten, deren Wert als Geldbetrag ausgedrückt werden kann, sollten für die Zwecke der Klassifizierung berücksichtigt werden.

(5)

Die Klassifizierungskriterien sollten sicherstellen, dass alle relevanten Arten von schwerwiegenden Vorfällen erfasst werden. Cyberangriffe, die mit dem Eindringen in Netzwerk- oder Informationssysteme zusammenhängen, werden von vielen Klassifizierungskriterien möglicherweise nicht unbedingt erfasst. Jedoch sind sie bedeutsam, da jedes Eindringen in Netzwerk- und Informationssysteme dem Finanzunternehmen schaden kann. Dementsprechend sollten die Klassifizierungskriterien „betroffene kritische Dienstleistungen“ und „Verluste von Daten“ so festgelegt werden, dass diese Arten von schwerwiegenden Vorfällen erfasst werden, insbesondere auch unbefugtes Eindringen, das, auch wenn die Auswirkungen nicht unmittelbar bekannt sind, gravierende Folgen haben kann, vor allem Datenschutzverletzungen und Datenlecks.

(6)

Da die Kreditinstitute sowohl dem Rahmen für die Klassifizierung von Vorfällen nach Artikel 18 der Verordnung (EU) 2022/2554 als auch dem Rahmen für operationelle Risiken gemäß der Delegierten Verordnung (EU) 2018/959 der Kommission (3) unterliegen, sollte der Ansatz für die Bewertung der wirtschaftlichen Auswirkungen eines Vorfalls auf Basis der Kosten- und Verlustkalkulation so weit wie möglich bei beiden Rahmen konsistent sein, damit keine unvereinbaren oder widersprüchlicher Anforderungen eingeführt werden.

(7)

Das in Artikel 18 Absatz 1 Buchstabe c der Verordnung (EU) 2022/2554 festgelegte Kriterium der geografischen Ausbreitung eines Vorfalls sollte die grenzüberschreitenden Auswirkungen des Vorfalls in den Fokus nehmen, da die Auswirkungen eines Vorfalls auf die Tätigkeiten eines Finanzunternehmens innerhalb eines einzelnen Rechtsraums durch die anderen im genannten Artikel festgelegten Kriterien erfasst werden.

(8)

Da die Klassifizierungskriterien voneinander abhängen und miteinander verknüpft sind, sollte der Ansatz für die Ermittlung schwerwiegender Vorfälle, die nach Artikel 19 Absatz 1 der Verordnung (EU) 2022/2554 gemeldet werden müssen, auf einer Kriterienkombination beruhen, wobei bestimmte Kriterien, die eng mit den in Artikel 3 Absätze 8 und 10 der Verordnung (EU) 2022/2554 enthaltenen Begriffsbestimmungen eines IKT-bezogenen Vorfalls bzw. schwerwiegender IKT-bezogener Vorfälle zusammenhängen, bei der Klassifizierung stärker im Vordergrund stehen sollten als andere Kriterien.

(9)

Um sicherzustellen, dass die Meldungen über schwerwiegende Vorfälle, die die zuständigen Behörden nach Artikel 19 Absatz 1 der Verordnung (EU) 2022/2554 erhalten, sowohl Aufsichtszwecken als auch der Verhinderung einer finanzsektorweiten Ansteckung dienen, sollten es die Wesentlichkeitsschwellen ermöglichen, schwerwiegende Vorfälle zu erfassen, indem sie unter anderem die Auswirkungen auf unternehmensspezifische kritische Dienstleistungen, die spezifischen absoluten und relativen Schwellenwerte für Kunden oder finanzielle Gegenparteien, auf wesentliche Auswirkungen auf das Finanzunternehmen hinweisende Transaktionen und die Signifikanz der Auswirkungen in anderen Mitgliedstaaten in den Fokus nehmen.

(10)

Vorfälle, die IKT-Dienstleistungen oder Netzwerk- und Informationssysteme zur Unterstützung kritischer oder wichtiger Funktionen oder zulassungspflichtige Finanzdienstleistungen betreffen, oder ein böswilliger unbefugter Zugriff auf Netzwerk- und Informationssysteme zur Unterstützung kritischer oder wichtiger Funktionen sollten als Vorfälle angesehen werden, die kritische Dienstleistungen der Finanzunternehmen betreffen. Ein böswilliger, unbefugter Zugriff auf Netzwerk- und Informationssysteme zur Unterstützung kritischer oder wichtiger Funktionen von Finanzunternehmen birgt ernsthafte Risiken für das Finanzunternehmen und sollte, da auch andere Finanzunternehmen davon betroffen sein könnten, stets als schwerwiegender Vorfall betrachtet werden, der gemeldet werden muss.

(11)

Wiederholte Vorfälle mit offensichtlich ähnlicher Ursache, die einzeln betrachtet keine schwerwiegenden Vorfälle sind, können auf erhebliche Mängel und Schwächen in den Verfahren des Finanzunternehmens für das Management von Vorfällen und Risiken hinweisen. Deswegen sollten wiederholte Vorfälle insgesamt als schwerwiegend betrachtet werden, wenn sie über einen gewissen Zeitraum mehrfach auftreten.

(12)

Da Cyberbedrohungen negative Auswirkungen auf das Finanzunternehmen und den Finanzsektor haben können, sollte bei etwaigen von den Finanzunternehmen gemeldeten erheblichen Cyberbedrohungen auf die Eintrittswahrscheinlichkeit und die Kritikalität der potenziellen Auswirkungen hingewiesen werden. Um eine eindeutige und konsistente Bewertung der Signifikanz von Cyberbedrohungen sicherzustellen, sollte die Klassifizierung einer Cyberbedrohung als erheblich von der Wahrscheinlichkeit, dass die Klassifizierungskriterien für schwerwiegende Vorfälle und die zugehörigen Schwellenwerte bei Eintritt der Bedrohung erfüllt würden, sowie von der Art der Cyberbedrohung und den verfügbaren Informationen des Finanzunternehmens abhängen.

(13)

Da die zuständigen Behörden in anderen Mitgliedstaaten über Vorfälle, die sich auf Finanzunternehmen und Kunden in ihrem Hoheitsgebiet auswirken, benachrichtigt werden müssen, sollte die in Artikel 19 Absatz 7 der Verordnung (EU) 2022/2554 vorgesehene Bewertung der Auswirkungen in einem anderen Hoheitsgebiet auf den Ursachen des Vorfalls, dem Ansteckungspotenzial über Drittdienstleister und Finanzmarktinfrastrukturen sowie den Auswirkungen des Vorfalls auf bedeutende Gruppen von Kunden oder finanziellen Gegenparteien beruhen.

(14)

Die in Artikel 19 Absätze 6 und 7 der Verordnung (EU) 2022/2554 genannten Melde- und Benachrichtigungsverfahren sollten es den jeweiligen Empfängern ermöglichen, die Auswirkungen der Vorfälle zu bewerten. Deswegen sollten die übermittelten Informationen alle Einzelheiten beinhalten, die in den Vorfallmeldungen des Finanzunternehmens an die zuständige Behörde enthalten sind.

(15)

Stellt ein Vorfall eine Verletzung des Schutzes personenbezogener Daten im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (4) und der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (5) dar, so sollte die vorliegende Verordnung die in den genannten Rechtsvorschriften der Union festgelegten Aufzeichnungs- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten unberührt lassen. Die zuständigen Behörden sollten mit den in der Verordnung (EU) 2016/679 und der Richtlinie 2002/58/EG genannten Behörden zusammenarbeiten und Informationen über alle relevanten Angelegenheiten austauschen.

(16)

Diese Verordnung beruht auf dem Entwurf technischer Regulierungsstandards, den die Europäischen Aufsichtsbehörden der Kommission in Abstimmung mit der Agentur der Europäischen Union für Cybersicherheit (ENISA) und der Europäischen Zentralbank (EZB) vorgelegt haben.

(17)

Der in Artikel 54 der Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates (6), in Artikel 54 der Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates (7) und in Artikel 54 der Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates (8) genannte Gemeinsame Ausschuss der Europäischen Aufsichtsbehörden hat zu diesem Entwurf technischer Regulierungsstandards, auf dem die vorliegende Verordnung beruht, öffentliche Konsultationen durchgeführt, die damit verbundenen Kosten- und Nutzeneffekte analysiert und die Stellungnahme der nach Artikel 37 der Verordnung (EU) Nr. 1093/2010 eingesetzten Interessengruppe Bankensektor, der nach Artikel 37 der Verordnung (EU) Nr. 1094/2010 eingesetzten Interessengruppe Versicherung und Rückversicherung und der nach Artikel 37 der Verordnung (EU) Nr. 1095/2010 eingesetzten Interessengruppe Wertpapiere und Wertpapiermärkte eingeholt.

(18)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (9) angehört und hat am 24. Januar 2024 eine Stellungnahme abgegeben —