Voor de toepassing van het beheerproces en de naleving van de rapporteringsverplichtingen classificeren de financiële entiteiten de ICT-gerelateerde incidenten en de cyberdreigingen en bepalen ze hun impact.
Technische reguleringsnormen
Technische reguleringsnormen bevatten detailinformatie over de criteria en drempels die bepalend zijn voor de classificatie als ernstig incident.
De financiële entiteiten classificeren de ICT-gerelateerde incidenten en bepalen hun impact rekening houdend met de volgende criteria:
- aantal en/of relevantie van de getroffen klanten;
- reputatieschade voor de entiteit;
- duur van het incident (waaronder de uitvaltijd van de dienst);
- geografische spreiding van de door het incident getroffen gebieden (met name als meer dan twee lidstaten zijn getroffen);
- gegevensverliezen (beschikbaarheid, authenticiteit, integriteit en/of vertrouwelijkheid);
- mate waarin de getroffen diensten als cruciaal kunnen worden aangemerkt;
- (directe en indirecte) economische effecten.
De financiële entiteiten classificeren cyberdreigingen als significant, rekening houdend met de volgende criteria:
- mate van criticiteit van de diensten die risico lopen;
- aantal en/of relevantie van de klanten die risico lopen;
- geografische spreiding van de risicogebieden.