Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, EU 2025, Wirtschaft/Finanzwesen - EU Bund

Die Europäische Kommission -

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 ¹, insbesondere auf Artikel 20 Absatz 4,

in Erwägung nachstehender Gründe:

(1) Um sicherzustellen, dass Finanzunternehmen den für sie zuständigen Behörden schwerwiegende Sicherheitsvorfälle einheitlich melden und diesen Behörden Daten von guter Qualität zur Verfügung stellen, sollte festgelegt werden, welche Datenfelder Finanzunternehmen in den verschiedenen Meldephasen nach Artikel 19 Absatz 4 der Verordnung (EU) 2022/2554 bereitstellen müssen. Es ist wichtig, dass diese Informationen in einer Weise dargestellt werden, die einen zentralen Überblick über den Vorfall gibt. Daher muss für diese Zwecke eine einheitliche Meldevorlage festgelegt werden.

(2) Finanzunternehmen sollten diejenigen Datenfelder der Meldevorlage ausfüllen, die den Informationsanforderungen der betreffenden Meldung entsprechen. Finanzunternehmen, die bereits über Informationen verfügen, die sie zu einem späteren Meldezeitpunkt, d. h. in der Zwischen- oder Abschlussmeldung, bereitstellen müssen, sollten die Möglichkeit haben, die Übermittlung der Daten vorzuziehen.

(3) Da mehrere oder wiederholte Vorfälle einen schwerwiegenden Vorfall im Sinne von Artikel 8 der Delegierten Verordnung (EU) 2024/1772 der Kommission ² darstellen können, sollten die Meldevorlage und die Datenfelder so gestaltet sein, dass die Finanzunternehmen solche wiederholten Vorfälle melden können.

(4) Um sicherzustellen, dass korrekte und aktuelle Informationen zur Verfügung stehen, sollte die Meldevorlage es den Finanzunternehmen ermöglichen, bei der Übermittlung der Zwischen- und Abschlussmeldung alle zuvor bereits übermittelten Informationen zu aktualisieren und erforderlichenfalls schwerwiegende Vorfälle in nicht schwerwiegend zurückzustufen.

(5) Die rechtliche Identifizierung der Unternehmen sollte an die Kennungen angepasst werden, die in den gemäß Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554 erlassenen technischen Durchführungsstandards festgelegt sind.

(6) Wenn Finanzunternehmen die Meldepflichten für schwerwiegende IKT-bezogene Vorfälle an einen Dritten auslagern, sollten die zuständigen Behörden die Identität des Dritten, der Meldungen im Namen des Finanzunternehmens übermittelt, bereits vor der Übermittlung der Erstmeldung kennen, um die Legitimität des meldenden Dritten überprüfen zu können.

(7) Um die Auswirkungen eines Vorfalls, der bei einem Drittdienstleister eingetreten ist oder von diesem verursacht wurde und mehrere Finanzunternehmen in demselben Mitgliedstaat betrifft, leicht einschätzen zu können und den Meldeaufwand für die Finanzunternehmen zu verringern, sollte die Meldevorlage die Übermittlung einer aggregierten Meldung mit aggregierten Informationen über die Auswirkungen des Vorfalls auf alle betroffenen Finanzunternehmen, die den Vorfall als schwerwiegend eingestuft haben, ermöglichen.

(8) Die Meldevorlage sollte technologieneutral gestaltet sein, damit sie in verschiedene Lösungen für die Meldung von Sicherheitsvorfällen implementiert werden kann, die zwecks Umsetzung der Anforderungen der Verordnung (EU) 2022/2554 bereits bestehen oder noch entwickelt werden.

(9) Die Gestaltung der Meldevorlage und der Datenfelder sollte die Meldung schwerwiegender IKT-bezogener Vorfälle durch Dritte, an die Finanzunternehmen ihre Meldepflicht gemäß Artikel 19 Absatz 5 der Verordnung (EU) 2022/2554 ausgelagert haben, erleichtern.

(10) Die vorliegende Verordnung beruht auf dem Entwurf technischer Durchführungsstandards, der der Kommission von den Europäischen Aufsichtsbehörden übermittelt wurde.