Aux fins de l’application du processus de gestion et du respect des obligations en matière de déclaration, les entités financières classent les incidents liés aux TIC et les cybermenaces et déterminent leur incidence.
Des normes techniques de règlementation
Des normes techniques de règlementation détaillent davantage les critères et les seuils qui déterminent la classification en incident majeur.
Les entités financières classent les incidents liés aux TIC et déterminent leur incidence en tenant compte des critères suivants :
- nombre et/ou importance des clients touchés ;
- atteinte à la réputation de l'entité ;
- durée de l'incident (y compris la durée d'interruption des services) ;
- répartition géographique de l'incident (en particulier si plus de deux Etats membres sont touchés) ;
- pertes de données occasionnées (disponibilité, authenticité, intégrité et/ou confidentialité) ;
- criticité des services touchés ;
- conséquences économiques (directes et indirectes).
Les entités financières classent les cybermenaces comme significatives en tenant compte des critères suivants :
- criticité des services à risque ;
- nombre et/ou importance des clients à risque ;
- répartition géographique des zones à risque.