Член 18

Класифициране на инцидентите с ИКТ и киберзаплахите

1. Финансовите субекти класифицират инцидентите с ИКТ и определят въздействието им по следните критерии:

а) броя и/или значимостта на клиентите или финансовите контрагенти, засегнати от инцидента с ИКТ, и, когато е приложимо, размера или броя на трансакциите, засегнати от инцидента с ИКТ, както и евентуално въздействие на инцидента с ИКТ върху репутацията;

б) продължителността на инцидента с ИКТ, включително периода на прекъсване на услугата;

в) географския обхват, т.е. райони, засегнати от инцидента с ИКТ, особено ако са засегнати повече от две държави членки;

г) загубата на данни в резултат на инцидента с ИКТ, във връзка с наличността, автентичността, цялостността или поверителността на данните;

д) критичната значимост на засегнатите услуги, включително на сделките и операциите на финансовия субект;

е) икономическите последици, по-специално преките и непреките разходи и загуби, от инцидента с ИКТ в абсолютно и в относително изражение.

2. Финансовите субекти класифицират киберзаплахите като значими въз основа на критичността на изложените на риск услуги, включително трансакциите и операциите на финансовия субект, броя и/или значимостта на клиентите или финансовите контрагенти, към които е насочена киберзаплахата, и географския обхват на изложените на риск райони.

3. В рамките на съвместния комитет и в консултации с ЕЦБ и ENISA ЕНО разработват общи проекти на регулаторни технически стандарти за доуточняване на:

а) критериите по параграф 1, включително праговете на същественост за определяне на съществените инциденти с ИКТ или, ако е приложимо, съществените операционни или свързани със сигурността инциденти, свързани с плащания, които трябва да бъдат докладвани по силата на член 19, параграф 1;

б) критериите, които компетентните органи трябва да прилагат, когато оценяват значението на съществени инциденти с ИКТ или, ако е приложимо, съществени операционни или свързани със сигурността инциденти, свързани с плащания, за съответните компетентни органи в други държави членки, и информацията в докладите за съществени инциденти с ИКТ или, ако е приложимо, съществени операционни или свързани със сигурността инциденти, свързани с плащания, която трябва да бъде споделяна с други компетентни органи по силата на член 19, параграфи 6 и 7;

в) критериите по параграф 2 от настоящия член, включително високите прагове на същественост за определяне на значителните киберзаплахи.

4. При разработването на посочените в параграф 3 от настоящия член общи проекти на регулаторни технически стандарти ЕНО се съобразяват с критериите по член 4, параграф 2, както и с международните стандарти, насоки и спецификации, разработени и публикувани от ENISA, включително и за други икономически сектори, когато е целесъобразно. За целите на прилагането на критериите по член 4, параграф 2 ЕНО надлежно отчитат необходимостта микропредприятията и малките и средните предприятия да мобилизират достатъчно ресурси и капацитет, за да се гарантира бързото управление на инцидентите с ИКТ.

ЕНО предават на Комисията тези общи проекти на регулаторни технически стандарти до 17 януари 2024 г.

На Комисията се делегират правомощия да допълни настоящия регламент, като приеме посочените в параграф 3 регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.