Art. 9
Soglie di rilevanza per la determinazione dei gravi incidenti
In vigore dal 13 mar 2024
Soglie di rilevanza per la determinazione dei gravi incidenti
1. La soglia di rilevanza per il criterio «Clienti, controparti finanziarie e transazioni» è raggiunta quando una qualsiasi delle condizioni seguenti è soddisfatta:
a)
il numero di clienti interessati è superiore al 10 % di tutti i clienti che utilizzano il servizio interessato;
b)
il numero di clienti interessati che utilizzano il servizio interessato è superiore a 100 000;
c)
il numero di controparti finanziarie interessate è superiore al 30 % di tutte le controparti finanziarie che svolgono attività connesse alla fornitura del servizio interessato;
d)
il numero di transazioni interessate è superiore al 10 % del numero medio giornaliero di transazioni effettuate dall’entità finanziaria in relazione al servizio interessato;
e)
la quantità di transazioni interessate è superiore al 10 % del valore medio giornaliero delle transazioni effettuate dall’entità finanziaria in relazione al servizio interessato;
f)
sono stati colpiti clienti o controparti finanziarie individuati come rilevanti ai sensi dell’, paragrafo 3.
Qualora non sia possibile determinare il numero effettivo di clienti o di controparti finanziarie interessati o la quantità o il numero effettivo di transazioni interessate, l’entità finanziaria stima tali numeri o quantità sulla base dei dati disponibili relativi a periodi di riferimento comparabili.
2. La soglia di rilevanza per il criterio «Impatto reputazionale» è raggiunta quando è soddisfatta una qualsiasi delle condizioni di cui all’, lettere da a) a d).
3. La soglia di rilevanza per il criterio «Durata e periodo di inattività del servizio» è raggiunta quando una qualsiasi delle condizioni seguenti è soddisfatta:
a)
la durata dell’incidente è superiore a 24 ore;
b)
il periodo di inattività del servizio è superiore a due ore per i servizi TIC a supporto di funzioni essenziali o importanti.
4. La soglia di rilevanza per il criterio «Estensione geografica» è raggiunta quando l’incidente ha un impatto in due o più Stati membri, in conformità dell’.
5. La soglia di rilevanza per il criterio «Perdite di dati» è raggiunta quando una qualsiasi delle condizioni seguenti è soddisfatta:
a)
qualsiasi impatto di cui all’ sulla disponibilità, sull’autenticità, sull’integrità o sulla riservatezza dei dati ha o avrà un impatto negativo sulla realizzazione degli obiettivi commerciali dell’entità finanziaria o sulla sua capacità di soddisfare i requisiti normativi;
b)
i sistemi informatici e di rete sono oggetto di accessi non autorizzati, dolosi e riusciti non contemplati alla lettera a), laddove tali accessi possono comportare perdite di dati.
6. La soglia di rilevanza per il criterio «Impatto economico» è raggiunta quando i costi e le perdite sostenuti dall’entità finanziaria a causa dell’incidente hanno superato o potrebbero superare 100 000 EUR.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1772:oj#art-9