Член 19

Докладване за съществените инциденти с ИКТ и уведомяване на доброволен принцип за значителни киберзаплахи

1. Финансовите субекти докладват на съответния компетентен орган по член 46 за съществените инциденти с ИКТ в съответствие с параграф 4 от настоящия член.

Когато финансов субект подлежи на надзор от повече от един национален компетентен орган, посочен в член 46, държавите членки определят един-единствен орган за компетентен орган, който отговаря за изпълнението на функциите и задълженията, предвидени в настоящия член.

Кредитните институции, класифицирани като значими в съответствие с член 6, параграф 4 от Регламент (ЕС) № 1024/2013, докладват за съществените инциденти с ИКТ на съответния национален компетентен орган, определен в съответствие с член 4 от Директива 2013/36/ЕС, който незабавно предава този доклад на ЕЦБ.

За целите на първа алинея финансовите субекти събират и проучват цялата съответна информация, след което по образеца, посочен в член 20, изготвят първоначалното уведомление и докладите по параграф 4 от настоящия член, които предават на компетентния орган. В случай че техническа невъзможност възпрепятства подаването на първоначалното уведомление по образеца, финансовите субекти уведомяват компетентния орган за това чрез алтернативни средства.

Първоначалното уведомление и докладите по параграф 4 съдържат цялата информация, която е необходима на компетентния орган, за да определи доколко даденият инцидент с ИКТ е съществен и да оцени възможните последици в трансграничен план.

Без да се засяга докладването по първа алинея от финансовия субект на съответния компетентен орган, държавите членки могат допълнително да определят, че някои или всички финансови субекти предоставят също първоначалното уведомление и всички доклади по параграф 4 от настоящия член по образците, посочени в член 20, на компетентните органи или на екипите за реагиране при инциденти с компютърната сигурност (ЕРИКС), определени или установени в съответствие с Директива (ЕС) 2022/2555.

2. Финансовите субекти могат на доброволен принцип да уведомяват съответния компетентен орган за значителни киберзаплахи, когато преценят, че заплахата е от значение за финансовата система, ползвателите на услугите или клиентите. Съответният компетентен орган може да предостави такава информация на други имащи отношение органи по параграф 6.

Кредитните институции, класифицирани като значими в съответствие с член 6, параграф 4 от Регламент (ЕС) № 1024/2013, могат на доброволен принцип да уведомяват за значителни киберзаплахи съответния национален компетентен орган, определен в съответствие с член 4 от Директива 2013/36/ЕС, който незабавно предава това уведомление на ЕЦБ.

Държавите членки могат да определят, че финансовите субекти, които уведомяват на доброволен принцип в съответствие с първа алинея, могат също така да предават това уведомление на ЕРИКС, определени или установени в съответствие с Директива (ЕС) 2022/2555.

3. Когато възникне съществен инцидент с ИКТ и той има последици за финансовите интереси на клиентите, финансовите субекти възможно най-бързо след като узнаят за него уведомяват клиентите си за съществения инцидент с ИКТ и за предприетите мерки за ограничаване на неблагоприятните последици.

В случай на значителна киберзаплаха финансовите субекти информират, когато е приложимо, клиентите си, които са потенциално засегнати, за всички подходящи мерки за защита, които клиентите биха могли да предприемат.

4. В сроковете, които се определят в съответствие с член 20, първа алинея, буква а), точка ii), финансовите субекти предоставят на съответния компетентен орган следното:

а) първоначално уведомление;

б) неокончателен доклад след първоначалното уведомление по буква а), веднага след като статусът на първоначалния инцидент се промени значително или справянето със съществения инцидент с ИКТ се промени въз основа на нова налична информация, последван, по целесъобразност, от актуализирани уведомления всеки път, когато съответният статус бъде актуализиран или ако компетентният орган специално поиска такива уведомления;

в) окончателен доклад, когато първопричината бъде проучена, независимо дали мерките за ограничаване на последиците са били вече предприети, и когато са налице действителните стойности на въздействието, с които могат да се заместят прогнозните.

5. Финансовите субекти могат, в съответствие с правото на Съюза и националното секторно право, да възлагат на трета страна доставчик на услуги посочените в настоящия член задължения за докладване. В случаите на такова възлагане на задължения финансовият субект остава изцяло отговорен за изпълнението на изискванията за докладване на инциденти.

6. При получаване на първоначалното уведомление и на всеки доклад по параграф 4 компетентният орган своевременно предоставя подробна информация за съществения инцидент с ИКТ на следните получатели, според случая, въз основа на съответните им компетенции:

а) ЕБО, ЕОЦКП или ЕОЗППО;

б) ЕЦБ, когато става въпрос за финансовите субекти по член 2, параграф 1, букви а), б) и г);

в) компетентните органи, единните звена за контакт или ЕРИКС, определени или установени в съответствие с Директива (ЕС) 2022/2555;

г) органите за преструктуриране, посочени в член 3 от Директива 2014/59/ЕС, и Единния съвет за преструктуриране (ЕСП) по отношение на субектите, посочени в член 7, параграф 2 от Регламент (ЕС) № 806/2014 на Европейския парламент и на Съвета , и по отношение на субектите и групите, посочени в член 7, параграф 4, буква б) и параграф 5 от Регламент (ЕС) № 806/2014, ако тази подробна информация се отнася до инциденти, които представляват риск за осигуряването на критични функции по смисъла на член 2, параграф 1, точка 35 от Директива 2014/59/ЕС; и

д) други имащи отношение публични органи съгласно националното право.

7. След получаване на информацията в съответствие с параграф 6 ЕБО, ЕОЦКП или ЕОЗППО, както и ЕЦБ, в консултации с ENISA и в сътрудничество със съответния компетентен орган, оценяват доколко същественият инцидент с ИКТ е от значение за компетентните органи в други държави членки. След тази оценка ЕБО, ЕОЦКП или ЕОЗППО уведомяват възможно най-бързо съответните компетентни органи в други държави членки за това. ЕЦБ уведомява членовете на Европейската система на централните банки за проблемите, които имат отношение към платежната система. Въз основа на уведомлението компетентните органи предприемат, когато е целесъобразно, всички необходими мерки, за да защитят непосредствената стабилност на финансовата система.

8. Уведомяването, което ЕОЦКП трябва да извърши съгласно параграф 7 от настоящия член, не засяга отговорността на компетентния орган спешно да предаде на съответния орган в приемащата държава членка подробна информация за сериозния инцидент с ИКТ, когато централен депозитар на ценни книжа извършва значителна трансгранична дейност в приемащата държава членка, сериозният инцидент с ИКТ има вероятност да окаже сериозни последици за финансовите пазари на приемащата държава членка и когато между компетентните органи има договорености за сътрудничество във връзка с надзора върху финансовите субекти.