(1) Finanzunternehmen klassifizieren IKT-bezogene Vorfälle und bestimmen deren Auswirkungen anhand folgender Kriterien:
| a) | Anzahl und/oder Relevanz der Kunden oder anderer Gegenparteien im Finanzbereich, die von dem IKT-bezogenen Vorfall betroffen sind, und gegebenenfalls des Werts oder der Anzahl der davon betroffenen Transaktionen und ob der IKT-bezogene Vorfall einen Reputationsschaden verursacht hat; |
| b) | Dauer des IKT-bezogenen Vorfalls, einschließlich der Ausfallzeiten des Dienstes; |
| c) | geografische Ausbreitung der von dem IKT-bezogenen Vorfall betroffenen Gebiete, insbesondere wenn mehr als zwei Mitgliedstaaten betroffen sind; |
| d) | die mit dem IKT-bezogenen Vorfall verbundenen Verfügbarkeits-, Authentizitäts-, Integritäts- oder Vertraulichkeitsverluste von Daten; |
| e) | Kritikalität der betroffenen Dienste, einschließlich der Transaktionen und Geschäfte des Finanzunternehmens; |
| f) | wirtschaftliche Auswirkungen — insbesondere direkte und indirekte Kosten und Verluste — des IKT-bezogenen Vorfalls auf absoluter und relativer Basis. |
(2) Finanzunternehmen stufen Cyberbedrohungen auf der Grundlage der Kritikalität der risikobehafteten Dienste, einschließlich der Transaktionen und Geschäfte des Finanzunternehmens, der Anzahl und/oder Relevanz der betroffenen Kunden oder Gegenparteien im Finanzbereich und der geografischen Ausbreitung der Risikogebiete als erheblich ein.
(3) Die ESA erarbeiten über den Gemeinsamen Ausschuss in Abstimmung mit der EZB und der ENISA gemeinsame Entwürfe technischer Regulierungsstandards, in denen Folgendes präzisiert wird:
| a) | die in Absatz 1 genannten Kriterien, einschließlich der Wesentlichkeitsschwellen für die Bestimmung schwerwiegender IKT-bezogener Vorfälle oder gegebenenfalls schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle, die der Meldepflicht nach Artikel 19 Absatz 1 unterliegen; |
| b) | die Kriterien, die von den zuständigen Behörden anzuwenden sind, um die Relevanz schwerwiegender IKT-bezogener Vorfälle oder gegebenenfalls schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle für die jeweils zuständigen Behörden in anderen Mitgliedstaaten zu bewerten, sowie die Einzelheiten in den Meldungen über schwerwiegende IKT-bezogene Vorfälle oder gegebenenfalls schwerwiegende zahlungsbezogene Betriebs- oder Sicherheitsvorfälle, die anderen zuständigen Behörden gemäß Artikel 19 Absätze 6 und 7 übermittelt werden müssen; |
| c) | die in Absatz 2 genannten Kriterien, einschließlich hoher Wesentlichkeitsschwellen für die Bestimmung erheblicher Cyberbedrohungen. |
(4) Bei der Ausarbeitung der in Absatz 3 genannten gemeinsamen Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die in Artikel 4 Absatz 2 genannten Kriterien sowie von der ENISA entwickelte und veröffentlichte internationale Standards, Leitlinien und Spezifikationen, gegebenenfalls einschließlich Spezifikationen für andere Wirtschaftszweige. Für die Zwecke der Anwendung der in Artikel 4 Absatz 2 festgelegten Kriterien berücksichtigen die ESA gebührend, dass Kleinstunternehmen sowie kleine und mittlere Unternehmen ausreichende Ressourcen und Kapazitäten mobilisieren können müssen, um sicherzustellen, dass IKT-bezogene Vorfälle rasch bewältigt werden.
Die ESA übermitteln der Kommission diese allgemeinen Entwürfe technischer Regulierungsstandards bis zum 17. Januar 2024.
Der Kommission wird die Befugnis übertragen, diese Verordnung durch Annahme der in Absatz 3 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.