Indberetning af it- og cyberhændelser
Operatører af finansiel digital infrastruktur skal indberette it- og cyberhændelser, der anses som væsentlige, til Finanstilsynet, jf. § 333 f. i lov om finansiel virksomhed. Hændelser indberettes via virk.dk.
Proces for overvågning, styring og indberetning af it- og cyberhændelser
Operatøren skal registrere alle it- og cyberhændelser og fastlægge en proces for overvågning, styring og indberetning af it- og cyberhændelser og indberette de væsentlige.
Væsentlige hændelser
Hændelser skal anses som væsentlige, hvis:
- hændelsen har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for operatøren eller
- hændelsen har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.
Tidsfrister for indberetning af it- og cyberhændelser
Tidlig varsling
Operatøren skal, uden unødigt ophold og inden for 24 timer efter at operatøren har fået kendskab til den væsentlige hændelse, fremsende en tidlig varsling til Finanstilsynet. Det skal angives om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger, eller om den kan have en grænseoverskridende virkning. Operatøren skal fremsende en foreløbig rapport om relevante statusopdateringer, hvis Finanstilsynet anmoder virksomheden herom.
Hændelsesunderretning
Operatøren skal, uden unødigt ophold og inden for 72 timer efter at operatøren har fået kendskab til den væsentlige hændelse, fremsende en hændelsesunderretning til Finanstilsynet. Hændelsesunderretningen skal ajourføre de oplysninger, som operatøren har sendt tidligere (f.eks. som en del af den tidlige varsling), og en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning, og kompromitteringsindikatorerne, hvor sådanne foreligger. Operatøren skal fremsende en foreløbig rapport om relevante statusopdateringer, hvis Finanstilsynet anmoder virksomheden herom.
Endelig rapport
Operatøren skal, senest 1 måned efter forelæggelsen af hændelsesunderretningen nævnt foroven, fremsende en endelig rapport. Hvis hændelsen fortsat foregår 1 måned efter forelæggelsen af hændelsesunderretningen, skal operatøren forelægge en statusrapport for Finanstilsynet i stedet, og en endelig rapport senest 1 måned efter operatørens håndtering af hændelsen. Operatøren skal fremsende en foreløbig rapport om relevante statusopdateringer, hvis Finanstilsynet anmoder virksomheden herom.
Underretning om væsentlige cybertrusler til Finanstilsynet
Operatøren kan underrette Finanstilsynet om en væsentlig cybertrussel, når operatøren anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder, jf. § 333 f. stk. 8. Underretning om væsentlige cybertrusler kan indberettes via DORA – Significant Cyber Threats.
Løbende outsourcing
Operatøren kan underrette Finanstilsynet om planlagte kontraktlige ordninger. Sådan en underretning kan ske via virk.dk.