Na het verzamelen en analyseren van alle relevante informatie, rapporteren de financiële entiteiten de ernstige ICT-gerelateerde incidenten aan de FSMA. Die informatie stelt de FSMA in staat om de draagwijdte van het incident en de mogelijke grensoverschrijdende effecten ervan te bepalen, en om die informatie ter kennis te brengen van andere betrokken toezichthouders en instanties.
Technische reguleringsnormen
Technische reguleringsnormen bevatten detailinformatie over de rapportageverplichtingen inzake ernstige ICT-gerelateerde incidenten en belangrijke cyberdreigingen.
De rapportage van ernstige ICT-gerelateerde incidenten omvat de volgende onderdelen:
- eerste melding;
- tussentijds verslag;
- eindverslag.
De financiële entiteiten sturen een tussentijds verslag zodra de status of de behandeling van het incident ingrijpend is gewijzigd, of op verzoek van de FSMA.
Het eindverslag bevat de analyse van de onderliggende oorzaken van het incident, alsook de cijfers met betrekking tot de werkelijke impact van het incident.
Wanneer een ernstig ICT-gerelateerd incident gevolgen heeft voor de financiële belangen van klanten, stellen de financiële entiteiten hun klanten in kennis van dat incident en van de genomen maatregelen om de negatieve gevolgen ervan te beperken.
De financiële entiteiten kunnen significante cyberdreigingen aan de FSMA melden. De FSMA kan die informatie, in voorkomend geval, aan de andere betrokken autoriteiten en instanties melden.
Bij een significante cyberdreiging informeren de financiële entiteiten hun klanten die mogelijk zijn geïmpacteerd, over de beschermingsmaatregelen die ze zouden kunnen nemen.
De financiële entiteiten kunnen de rapportageverplichtingen uitbesteden, maar blijven volledig verantwoordelijk voor het naleven van de DORA-vereisten.