Статья 18. Классификация инцидентов, связанных с ICT, и киберугроз. Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14.12.2022 о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011

Статья 18
Классификация инцидентов, связанных с ICT, и киберугроз

1. Финансовые организации должны классифицировать инциденты, связанные с ICT, и определять их влияние на основе следующих критериев:

(a) количество и/или значимость затронутых клиентов или финансовых контрагентов и, если применимо, размер или количество транзакций, затронутых инцидентом, связанным с ICT, а также наличие влияния такого инцидента на репутацию;

(b) продолжительность инцидента, связанного с ICT, включая период недоступности услуги;

(c) географическое распространение областей, затронутых инцидентом, связанным с ICT, особенно если он затрагивает более двух государств-членов ЕС;

(d) потери данных, которые влечет за собой инцидент, связанный с ICT, в части доступности, подлинности, целостности или конфиденциальности данных;

(e) критичность затронутых услуг, включая операции и транзакции финансовой организации;

(f) экономические последствия инцидента, связанного с ICT, в частности прямые и косвенные затраты и убытки, как в абсолютном, так и в относительном выражении.

2. Финансовые организации должны относить киберугрозы к существенным на основании критичности услуг, подверженных риску, включая транзакции и операции финансовой организации, количество и/или значимость целевых клиентов или финансовых контрагентов и географическое распространение областей риска.

3. ESA должны в рамках Совместного комитета и посредством консультаций с ECB и ENISA разработать общие проекты регулятивных технических стандартов в целях дальнейшего уточнения:

(a) критериев, изложенных в параграфе 1 настоящей Статьи, включая пороговые значения существенности для определения крупных инцидентов, связанных с ICT, или, если применимо, крупных инцидентов, связанных с операционными или обеспечительными платежами, на которые распространяется обязательство по представлению отчетности, изложенное в Статье 19(1) настоящего Регламента;

(b) критериев, которые должны применяться компетентными органами для оценки значимости крупных инцидентов, связанных с ICT, или, если применимо, крупных инцидентов, связанных с операционными или обеспечительными платежами, к соответствующим компетентным органам в других государствах-членах ЕС, а также деталей отчетов о крупных инцидентах, связанных с ICT, или, если применимо, о крупных инцидентах, связанных с операционными или обеспечительными платежами, которые должны быть доведены до сведения других компетентных органов в соответствии со Статьей 19(6) и (7) настоящего Регламента;

(c) критериев, изложенных в параграфе 2 настоящей Статьи, в том числе высокие пороговые значения существенности для определения существенных киберугроз.

4. При разработке проектов общих регулятивных технических стандартов, указанных в параграфе 3 настоящей Статьи, ESA должны учитывать критерии, изложенные в Статье 4(2) настоящего Регламента, а также международные стандарты, руководящие принципы и спецификации, разработанные и опубликованные ENISA, в том числе, при необходимости, спецификации для других секторов экономики. В целях применения критериев, изложенных в Статье 4(2) настоящего Регламента, ESA должны надлежащим образом учитывать потребность микропредприятий, а также малых и средних предприятий в привлечении достаточных ресурсов и возможностей для обеспечения оперативного управления инцидентами, связанными с ICT.

ESA должны представить такие проекты общих регулятивных технических стандартов Европейской Комиссии не позднее 17 января 2024 г.

Европейской Комиссии делегированы полномочия по дополнению настоящего Регламента путем принятия регулятивных технических стандартов, указанных в параграфе 3 настоящей Статьи, в соответствии со Статьями 10-14 Регламентов (ЕС) 1093/2010, (ЕС) 1094/2010 и (ЕС) 1095/2010.