Poročanje o večjih incidentih in obveščanje o pomembnih kibernetskih grožnjah

Kdo:

• Banke in hranilnice, plačilne institucije, plačilne institucije z opustitvijo, družbe za izdajo elektronskega denarja, družbe za izdajo elektronskega denarja z opustitvijo, ponudniki storitev zagotavljanja informacij o računih

Pravna podlaga:

• Uredba (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (UL L št. 333 z dne 27. decembra 2022)

• Delegirana uredba Komisije (EU) 2024/1772 z dne 13. marca 2024 o dopolnitvi Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta v zvezi z regulativnimi tehničnimi standardi o določitvi meril za razvrščanje incidentov, povezanih z IKT, in kibernetskih groženj, ter pragov pomembnosti in podrobnosti poročil o večjih incidentih

• Delegirana uredba Komisije (EU) 2025/301 z dne 23. oktobra 2024 o dopolnitvi Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta v zvezi z regulativnimi tehničnimi standardi, ki določajo vsebino in roke za začetno uradno obvestilo ter vmesno in končno poročilo o večjih incidentih, povezanih z IKT, ter vsebino prostovoljnega uradnega obvestila o pomembnih kibernetskih grožnjah

• Izvedbena uredba Komisije (EU) 2025/302 z dne 23. oktobra 2024 o določitvi izvedbenih tehničnih standardov za uporabo Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta v zvezi s standardnimi obrazci, predlogami in postopki, v okviru katerih finančni subjekti poročajo o večjem incidentu, povezanem z IKT, in uradno obveščajo o pomembni kibernetski grožnji

Navodila:

• Tehnično navodilo za izmenjavo datotek za področje DORA

Poročanje o večjih incidentih

Do kdaj:

• Začetno poročilo: najkasneje v 4 urah od trenutka, ko je bil incident razvrščen kot večji, in najkasneje v 24 urah od trenutka, ko je subjekt izvedel za incident

• Vmesno poročilo: najpozneje v 72 urah od predložitve začetnega poročila; po obnovitvi rednih dejavnosti brez nepotrebnega odlašanja tudi posodobljeno vmesno poročilo

• Končno poročilo: najpozneje en mesec od predložitve vmesnega poročila ali zadnjega posodobljenega vmesnega poročila

Obrazec:

• DORA-IR predloga

Obveščanje o pomembnih kibernetskih grožnjah

Kdaj:

• Prostovoljno uradno obvestilo predloži subjekt po ugotovitvi, da je grožnja relevantna za finančni sistem, uporabnike storitev ali stranke

Obrazec:

• DORA-CYB predloga

Kontakt:

Elektronski naslov: [email protected]