(1) Unbeschadet der technischen Informationen, Empfehlungen oder Abhilfe- und Folgemaßnahmen, die im Einklang mit dem nationalen Recht gegebenenfalls vom CSIRT gemäß Richtlinie (EU) 2022/2555 bereitgestellt werden können, bestätigt die zuständige Behörde nach Eingang der Erstmeldung und jeder Meldung nach Artikel 19 Absatz 4 den Eingang und kann, wenn möglich, dem Finanzunternehmen zeitnah sachdienliche und angemessene Rückmeldungen oder allgemein gehaltene Orientierungshilfen übermitteln, insbesondere durch Zurverfügungstellung relevanter anonymisierter Informationen und Erkenntnisse zu ähnlichen Bedrohungen, sowie auf Ebene des Unternehmens angewandte Abhilfemaßnahmen und Möglichkeiten zur Minimierung und Minderung nachteiliger Auswirkungen auf den gesamten Finanzsektor erörtern. Unbeschadet der aufsichtlichen Rückmeldung bleiben Finanzunternehmen in vollem Umfang für die Handhabung und die Folgen der gemäß Artikel 19 Absatz 1 gemeldeten IKT-bezogenen Vorfälle verantwortlich.
(2) Die ESA berichten jährlich über den Gemeinsamen Ausschuss in anonymisierter und aggregierter Form über schwerwiegende IKT-bezogene Vorfälle, deren Einzelheiten von den zuständigen Behörden gemäß Artikel 19 Absatz 6 übermittelt werden, und geben dabei mindestens die Zahl schwerwiegender IKT-bezogener Vorfälle, ihre Art und ihre Auswirkungen auf die Geschäftstätigkeit von Finanzunternehmen oder Kunden sowie die ergriffenen Abhilfemaßnahmen und die Kosten an.
Die ESA geben Warnungen heraus und erstellen allgemein gehaltene Statistiken, um die Bewertungen von Bedrohungen und Schwachstellen im IKT-Bereich zu unterstützen.