DURCHFÜHRUNGSVERORDNUNG (EU) 2025/302 DER KOMMISSION
vom 23. Oktober 2024
zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung
(Text von Bedeutung für den EWR)
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (1), insbesondere auf Artikel 20 Absatz 4,
in Erwägung nachstehender Gründe:
|
(1) |
Um sicherzustellen, dass Finanzunternehmen den für sie zuständigen Behörden schwerwiegende Sicherheitsvorfälle einheitlich melden und diesen Behörden Daten von guter Qualität zur Verfügung stellen, sollte festgelegt werden, welche Datenfelder Finanzunternehmen in den verschiedenen Meldephasen nach Artikel 19 Absatz 4 der Verordnung (EU) 2022/2554 bereitstellen müssen. Es ist wichtig, dass diese Informationen in einer Weise dargestellt werden, die einen zentralen Überblick über den Vorfall gibt. Daher muss für diese Zwecke eine einheitliche Meldevorlage festgelegt werden. |
|
(2) |
Finanzunternehmen sollten diejenigen Datenfelder der Meldevorlage ausfüllen, die den Informationsanforderungen der betreffenden Meldung entsprechen. Finanzunternehmen, die bereits über Informationen verfügen, die sie zu einem späteren Meldezeitpunkt, d. h. in der Zwischen- oder Abschlussmeldung, bereitstellen müssen, sollten die Möglichkeit haben, die Übermittlung der Daten vorzuziehen. |
|
(3) |
Da mehrere oder wiederholte Vorfälle einen schwerwiegenden Vorfall im Sinne von Artikel 8 der Delegierten Verordnung (EU) 2024/1772 der Kommission (2) darstellen können, sollten die Meldevorlage und die Datenfelder so gestaltet sein, dass die Finanzunternehmen solche wiederholten Vorfälle melden können. |
|
(4) |
Um sicherzustellen, dass korrekte und aktuelle Informationen zur Verfügung stehen, sollte die Meldevorlage es den Finanzunternehmen ermöglichen, bei der Übermittlung der Zwischen- und Abschlussmeldung alle zuvor bereits übermittelten Informationen zu aktualisieren und erforderlichenfalls schwerwiegende Vorfälle in nicht schwerwiegend zurückzustufen. |
|
(5) |
Die rechtliche Identifizierung der Unternehmen sollte an die Kennungen angepasst werden, die in den gemäß Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554 erlassenen technischen Durchführungsstandards festgelegt sind. |
|
(6) |
Wenn Finanzunternehmen die Meldepflichten für schwerwiegende IKT-bezogene Vorfälle an einen Dritten auslagern, sollten die zuständigen Behörden die Identität des Dritten, der Meldungen im Namen des Finanzunternehmens übermittelt, bereits vor der Übermittlung der Erstmeldung kennen, um die Legitimität des meldenden Dritten überprüfen zu können. |
|
(7) |
Um die Auswirkungen eines Vorfalls, der bei einem Drittdienstleister eingetreten ist oder von diesem verursacht wurde und mehrere Finanzunternehmen in demselben Mitgliedstaat betrifft, leicht einschätzen zu können und den Meldeaufwand für die Finanzunternehmen zu verringern, sollte die Meldevorlage die Übermittlung einer aggregierten Meldung mit aggregierten Informationen über die Auswirkungen des Vorfalls auf alle betroffenen Finanzunternehmen, die den Vorfall als schwerwiegend eingestuft haben, ermöglichen. |
|
(8) |
Die Meldevorlage sollte technologieneutral gestaltet sein, damit sie in verschiedene Lösungen für die Meldung von Sicherheitsvorfällen implementiert werden kann, die zwecks Umsetzung der Anforderungen der Verordnung (EU) 2022/2554 bereits bestehen oder noch entwickelt werden. |
|
(9) |
Die Gestaltung der Meldevorlage und der Datenfelder sollte die Meldung schwerwiegender IKT-bezogener Vorfälle durch Dritte, an die Finanzunternehmen ihre Meldepflicht gemäß Artikel 19 Absatz 5 der Verordnung (EU) 2022/2554 ausgelagert haben, erleichtern. |
|
(10) |
Die vorliegende Verordnung beruht auf dem Entwurf technischer Durchführungsstandards, der der Kommission von den Europäischen Aufsichtsbehörden übermittelt wurde. |
|
(11) |
Die Europäischen Aufsichtsbehörden haben zu diesem Entwurf öffentliche Konsultationen durchgeführt, die damit verbundenen potenziellen Kosten- und Nutzeneffekte analysiert und die Stellungnahme der nach Artikel 37 der Verordnungen (EU) Nr. 1093/2010 (3), (EU) Nr. 1094/2010 (4) und (EU) Nr. 1095/2010 (5) des Europäischen Parlaments und des Rates eingesetzten Interessengruppe Bankensektor eingeholt. |
|
(12) |
Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (6) konsultiert und gab am 22. Juli 2024 eine befürwortende Stellungnahme ab. Jede Verarbeitung personenbezogener Daten im Anwendungsbereich dieser Verordnung sollte im Einklang mit den geltenden Datenschutzgrundsätzen und -bestimmungen der Verordnung (EU) 2018/1725 erfolgen. |
HAT FOLGENDE VERORDNUNG ERLASSEN:
(1) ABl. L 333 vom 27.12.2022, S. 1. ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Delegierte Verordnung (EU) 2024/1772 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle (ABl. L, 2024/1772 vom 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj).
(3) Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12. ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(4) Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/79/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 48. ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(5) Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Wertpapier- und Marktaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/77/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 84. ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(6) Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39. ELI: http://data.europa.eu/eli/reg/2018/1725/oj).