Virksomheder omfattet af DORA-forordningen skal indberette væsentlige IKT-hændelser til Finanstilsynet. Kravene til indberetning er yderligere specificeret i den regulatoriske tekniske standard, der præciserer kriterierne for klassificering af IKT-relaterede hændelser og cybertrusler, fastsætter væsentlighedstærskler og præciserer de nærmere oplysninger om indberetninger af større hændelser. Virksomhederne skal blandet andet fremsende en indledende underretning (initial notification), foreløbig rapport (intermediate report) og endelig rapport (final report) til Finanstilsynet. Der er fastsat obligatoriske rapporteringskrav til virksomhedernes rapportering.
Hændelserne skal indberettes på virk.dk (hændelse vedrørende den finansielle sektor). Ved indberetningen skal anvendes. Der henvises også til skemaet på Virk.dk.
Hvis det er teknisk umuligt at indgive den indledende underretning ved brug af modellen, meddeler de finansielle enheder den kompetente myndighed den på anden vis. jf. artikel 19, stk. 1, i DORA-forordningen.
Proces for styring af IKT-relaterede hændelser
Virksomhederne skal gennemføre en proces for styring af IKT-relaterede hændelser for at detektere, styre og indberette IKT-relaterede hændelser. Dette omfatter bl.a. tidlige varslingsmekanismer, advarselsindikatorer, ansvarsfordeling, etablering af procedurer, udarbejdelse af kontaktlister og kommunikationsplaner samt sikring af bevismateriale.
Klassifikation af væsentlige hændelser
En IKT-relateret hændelse anses som større, når den har en stor negativ indvirkning på net- og informationssystemer, som understøtter kritiske eller vigtige funktioner i den finansielle enhed. Kravene til vurdering og klassificering af hændelser vedrører bl.a.:
- Ondsindet og uautoriseret adgang til netværks- og informationssystemer, der kan resultere i data tab.
- Når to eller flere af de fastsatte grænseværdier er opfyldt, eksempelvis:
- Antallet af berørte kunder, finansielle modparter eller transaktioner
- Omdømmemæssige påvirkning
- Hændelsens varighed og nedetid på tjenesterne
- Geografisk spredning
- Påvirkningen på tilgængelighed, autenticiteten, integriteten eller fortroligheden af data
- Økonomiske konsekvenser
Gentagne hændelser, der enkeltvis ikke opfylder kriterierne for en større IKT-relateret hændelse i henhold kan også blive indberetningspligtige ud fra en samlet betragtning. Se den regulatoriske tekniske standard, der præciserer kriterierne for klassificering af IKT-relaterede hændelser og cybertrusler, fastsætter væsentlighedstærskler og præciserer de nærmere oplysninger om indberetninger af større hændelser.
Tidsfrister for rapportering
Indledende underretning
Den indledende underretning skal fremsendes til Finanstilsynet, hurtigst muligt, og indenfor 4 timer fra virksomheden har klassificeret hændelsen som en væsentlig hændelse. Dog senest 24 timer fra at virksomheden er blevet opmærksomme på hændelsen.
Foreløbig rapport
Den foreløbige rapport skal sendes til Finanstilsynet senest indenfor 72 timer efter den indledende underretning og i tilfælde af, at hændelsen ændrer status eller karakter.
Virksomheden skal fremsende en opdateret rapportering ved væsentlige ændringer eller når der er ny information mv. og efter anmodning fra Finanstilsynet. Se artikel 19, stk. 4 i DORA-forordningen for yderligere information.
Endelige rapport
Den endelige rapport skal fremsendes til Finanstilsynet senest en måned efter seneste opdatering til den foreløbige rapport.
For yderligere information om tidsfrister med mere for rapportering, herunder bl.a. i løbet af weekender og helligdage, henviser Finanstilsynet til EBA (Joint Technical Standards on major incident reporting).
Finanstilsynet videresender hændelserne til de Europæiske tilsynsmyndigheder
Finanstilsynet videresender de rapporter, som modtages til den relevante europæiske tilsynsmyndighed, herunder Den Europæiske Banktilsynsmyndighed (EBA), Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) eller Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger (EIOPA)) og, hvis det er relevant, til Den Europæiske Centralbank (ECB) og Myndigheden for Net- og Informationssystemsikkerhed (NIS 2-myndigheden).