En operatør af finansiel digital infrastruktur skal fastlægge en proces for overvågning, styring og indberetning af it- og cyberhændelser.
Stk. 2 En operatør skal registrere alle it- og cyberhændelser og væsentlige cybertrusler. Operatøren skal fastlægge passende procedurer, der sikrer en konsekvent og integreret overvågning og håndtering af og opfølgning på it- og cyberhændelser, og at de grundlæggende årsager identificeres, dokumenteres og håndteres.
Stk. 3 En operatør skal indberette væsentlige it- og cyberhændelser, jf. stk. 4, til Finanstilsynet og CSIRT’en oprettet i medfør af artikel 10 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.
Stk. 4 En hændelse anses for væsentlig, jf. stk. 3, hvis
-
1) den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for operatøren eller
-
2) den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.
Stk. 5 En operatør skal ved en indberetning, jf. stk. 3, foretage følgende:
-
1) Indsende alle oplysninger, der er nødvendige for Finanstilsynet til at fastslå eventuelle grænseoverskridende virkninger af hændelsen.
-
2) Uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse fremsende en tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning.
-
3) Uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse fremsende en hændelsesunderretning, som skal ajourføre de oplysninger, der er nævnt under nr. 1, og en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning, og kompromitteringsindikatorerne, hvor sådanne foreligger.
-
4) Efter anmodning fra Finanstilsynet eller fra CSIRT’en fremsende en foreløbig rapport om relevante statusopdateringer.
-
5) Fremsende en endelig rapport senest 1 måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, der skal omfatte følgende:
-
a) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning.
-
b) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.
-
c) Anvendte og igangværende afbødende foranstaltninger.
-
d) Oplysninger om eventuelle grænseoverskridende virkninger af hændelsen.
-
-
6) Forelægge en statusrapport for Finanstilsynet og CSIRT’en senest 1 måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, hvis hændelsen fortsat pågår på dette tidspunkt, og en endelig rapport senest 1 måned efter operatørens håndtering af hændelsen.
Stk. 6 En operatør skal, hvor det er relevant, uden unødigt ophold underrette modtagere af operatørens tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.
Stk. 7 En operatør skal uden unødigt ophold underrette modtagere af opetatørens tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Operatøren skal også informere de pågældende modtagere om den konkrete væsentlige cybertrussel, hvor dette er relevant.
Stk. 8 En operatør kan underrette Finanstilsynet om en væsentlig cybertrussel, når operatøren anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder.