Beheer, classificatie en melding van ICT-gerelateerde incidenten

Om de effecten van de ICT-gerelateerde incidenten te beperken en de activiteiten zo snel mogelijk te hervatten, leggen de financiële entiteiten een beheerproces ten uitvoer om ICT-gerelateerde incidenten te detecteren, te beheren en te melden.

Daartoe registreren ze alle ICT-gerelateerde incidenten en significante cyberdreigingen. Ze stellen daartoe procedures en processen vast voor een geïntegreerde monitoring, behandeling en follow-up. Ze zorgen er inzonderheid voor dat onderliggende oorzaken worden opgespoord, gedocumenteerd en weggenomen.

Het beheer van ICT-gerelateerde incidenten omvat minstens de volgende elementen:

• indicatoren voor vroegtijdige alerts;
• procedures om ICT-gerelateerde incidenten te identificeren, op te volgen, te detecteren, te categoriseren en te classificeren;
• functies en verantwoordelijkheden voor verschillende ICT-incidentscenario’s;
• plannen voor communicatie met alle betrokken partijen;
• melding van ICT-gerelateerde incidenten aan het leidinggevend orgaan (ten minste de ernstige incidenten);
• responsprocedures voor ICT-gerelateerde incidenten.

Voor de toepassing van het beheerproces en de naleving van de rapporteringsverplichtingen classificeren de financiële entiteiten de ICT-gerelateerde incidenten en de cyberdreigingen en bepalen ze hun impact.

De financiële entiteiten classificeren de ICT-gerelateerde incidenten en bepalen hun impact rekening houdend met de volgende criteria:

• aantal en/of relevantie van de getroffen klanten;
• reputatieschade voor de entiteit;
• duur van het incident (waaronder de uitvaltijd van de dienst);
• geografische spreiding van de door het incident getroffen gebieden (met name als meer dan twee lidstaten zijn getroffen);
• gegevensverliezen (beschikbaarheid, authenticiteit, integriteit en/of vertrouwelijkheid);
• mate waarin de getroffen diensten als cruciaal kunnen worden aangemerkt;
• (directe en indirecte) economische effecten.

De financiële entiteiten classificeren cyberdreigingen als significant, rekening houdend met de volgende criteria:

• mate van criticiteit van de diensten die risico lopen;
• aantal en/of relevantie van de klanten die risico lopen;
• geografische spreiding van de risicogebieden.

Na het verzamelen en analyseren van alle relevante informatie, rapporteren de financiële entiteiten de ernstige ICT-gerelateerde incidenten aan de FSMA. Die informatie stelt de FSMA in staat om de draagwijdte van het incident en de mogelijke grensoverschrijdende effecten ervan te bepalen, en om die informatie ter kennis te brengen van andere betrokken toezichthouders en instanties.

De rapportage van ernstige ICT-gerelateerde incidenten omvat de volgende onderdelen:

• eerste melding;
• tussentijds verslag;
• eindverslag.

De financiële entiteiten sturen een tussentijds verslag zodra de status of de behandeling van het incident ingrijpend is gewijzigd, of op verzoek van de FSMA. 

Het eindverslag bevat de analyse van de onderliggende oorzaken van het incident, alsook de cijfers met betrekking tot de werkelijke impact van het incident.

Wanneer een ernstig ICT-gerelateerd incident gevolgen heeft voor de financiële belangen van klanten, stellen de financiële entiteiten hun klanten in kennis van dat incident en van de genomen maatregelen om de negatieve gevolgen ervan te beperken.

De financiële entiteiten kunnen significante cyberdreigingen aan de FSMA melden. De FSMA kan die informatie, in voorkomend geval, aan de andere betrokken autoriteiten en instanties melden.

Bij een significante cyberdreiging informeren de financiële entiteiten hun klanten die mogelijk zijn geïmpacteerd, over de beschermingsmaatregelen die ze zouden kunnen nemen.

De financiële entiteiten kunnen de rapportageverplichtingen uitbesteden, maar blijven volledig verantwoordelijk voor het naleven van de DORA-vereisten. 

Consulteer deze handleiding voor het gebruik van de DORA_INCIDENT en DORA_CYBERTHREAT surveys in FiMiS.