(1)   Ein Drittdienstleister, an den Meldepflichten gemäß Artikel 19 Absatz 5 der Verordnung (EU) 2022/2554 ausgelagert wurden, kann die Vorlage in Anhang I dieser Verordnung verwenden, um aggregierte Informationen über einen schwerwiegenden IKT-bezogenen Vorfall, der sich auf mehrere Finanzunternehmen auswirkt, in einer einzigen Meldung bereitzustellen und diese Meldung im Namen aller betroffenen Finanzunternehmen der zuständigen Behörde zu übermitteln, sofern alle folgenden Voraussetzungen erfüllt sind:

a)	Der zu meldende schwerwiegende IKT-bezogene Vorfall hat bei einem IKT- Drittdienstleister seinen Ursprung oder wird von diesem verursacht.

b)	Dieser Drittdienstleister erbringt die betreffende IKT-Dienstleistung für mehr als ein Finanzunternehmen oder für eine Gruppe.

c)	Der IKT-bezogene Vorfall wird von jedem in der aggregierten Meldung erfassten Finanzunternehmen als schwerwiegend eingestuft.

d)	Der schwerwiegende IKT-bezogene Vorfall betrifft Finanzunternehmen im selben Mitgliedstaat und die aggregierte Meldung bezieht sich auf Finanzunternehmen, die von derselben zuständigen Behörde beaufsichtigt werden.

e)	Die zuständigen Behörden haben dieser Art von Finanzunternehmen ausdrücklich gestattet, aggregierte Meldungen zu übermitteln.

(2)   Absatz 1 gilt nicht für Kreditinstitute, die gemäß Artikel 2 Nummer 16 der Verordnung (EU) Nr. 468/2014 der Europäischen Zentralbank (8) als von erheblicher Bedeutung angesehen werden, Betreiber von Handelsplätzen und zentrale Gegenparteien, die nur die Vorlage in Anhang I verwenden, um Meldungen schwerwiegender IKT-bezogener Vorfälle einzeln an ihre zuständige Behörde zu übermitteln.

(3)   Verlangen die zuständigen Behörden Informationen über die individuellen Auswirkungen des schwerwiegenden IKT-bezogenen Vorfalls auf ein einzelnes Finanzunternehmen, so übermittelt das Finanzunternehmen auf Ersuchen der zuständigen Behörde eine Einzelmeldung über den schwerwiegenden IKT-bezogenen Vorfall.