REGULAMENTO DELEGADO (UE) 2024/1772 - Classificação dos incidentes relacionados com as TIC e das ciberameaças - Eng.ª Mónica Leal

2024-06-25

REGULAMENTO DELEGADO (UE) 2024/1772 - Classificação dos incidentes relacionados com as TIC e das ciberameaças

REGULAMENTO DELEGADO (UE) 2024/1772 - Classificação dos incidentes relacionados com as TIC e das ciberameaças

Saiu hoje no Jornal Oficial da UE o REGULAMENTO DELEGADO (UE) 2024/1772 DA COMISSÃO que complementa o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho no que respeita às normas técnicas de regulamentação que especificam os critérios de classificação dos incidentes relacionados com as TIC e das ciberameaças, estabelecem limiares de materialidade e especificam os pormenores das notificações dos incidentes de caráter severo.

Chamo à atenção ao seguinte:

Considerando o seguinte:

(1) O Regulamento (UE) 2022/2554 visa harmonizar e simplificar os requisitos de notificação de incidentes relacionados com as TIC e de incidentes operacionais ou de segurança relacionados com pagamentos relativos a instituições de crédito, instituições de pagamento, prestadores de serviços de informação sobre contas e instituições de moeda eletrónica («incidentes»). Tendo em conta que os requisitos de comunicação de informações abrangem 20 tipos diferentes de entidades financeiras, os critérios de classificação e os limiares de materialidade para determinar os incidentes de caráter severo e as ciberameaças significativas devem ser especificados de forma simples, harmonizada e coerente, que atenda às especificidades dos serviços e às atividades de todas as entidades financeiras relevantes.

Artigo 1.º - Clientes, contrapartes financeiras e transações

1. O número de clientes afetados pelo incidente, tal como referido no artigo 18.o , n.º 1, alínea a), do Regulamento (UE) 2022/2554, deve refletir o número de todos os clientes afetados, quer sejam pessoas singulares ou coletivas, que são ou foram incapazes de utilizar o serviço prestado pela entidade financeira durante o incidente ou que foram negativamente afetados pelo incidente. Esse número deve também incluir os terceiros explicitamente abrangidos pelo acordo contratual entre a entidade financeira e o cliente enquanto beneficiários do serviço afetado. 2. O número de contrapartes financeiras afetadas pelo incidente, tal como referido no artigo 18.º , n.º 1, alínea a), do Regulamento (UE) 2022/2554, deve refletir o número de todas as contrapartes financeiras afetadas que tenham celebrado um acordo contratual com a entidade financeira.

3. Em relação à relevância dos clientes e contrapartes financeiras afetados pelo incidente, tal como referido no artigo 18.º , n.º 1, alínea a), do Regulamento (UE) 2022/2554, a entidade financeira deve ter em conta em que medida o impacto sobre um cliente ou uma contraparte financeira afetará a realização dos objetivos empresariais da entidade financeira, bem como o potencial impacto do incidente na eficiência do mercado.

4. Em relação à quantidade ou ao número de transações afetadas pelo incidente, tal como referido no artigo 18.º , n.º 1, alínea a), do Regulamento (UE) 2022/2554, a entidade financeira deve ter em conta todas as transações afetadas que envolvam um valor monetário e em que pelo menos uma parte da transação seja realizada na União.

5. Se não for possível determinar o número real de clientes ou contrapartes financeiras afetados ou o número ou a quantidade real de transações afetadas, a entidade financeira deve estimar esses números ou quantidades com base nos dados disponíveis de períodos de referência comparáveis.

Artigo 5.º - Perdas de dados

Para efeitos da determinação das perdas de dados decorrentes do incidente, tal como referido no artigo 18.º , n.º 1, alínea d), do Regulamento (UE) 2022/2554, as entidades financeiras devem ter em conta:

a) Em relação à disponibilidade dos dados, se o incidente tornou os dados de que a entidade financeira, os seus clientes ou as suas contrapartes necessitam temporária ou permanentemente inacessíveis ou inutilizáveis;

b) Em relação à autenticidade dos dados, se o incidente comprometeu a fiabilidade da fonte dos dados;

c) Em relação à integridade dos dados, se o incidente resultou numa alteração não autorizada dos dados que os tornou inexatos ou incompletos;

d) Em relação à confidencialidade dos dados, se o incidente resultou no acesso ou na divulgação dos dados a uma parte ou sistema não autorizado.

Artigo 9.º - Limiares de materialidade para a determinação dos incidentes de caráter severo

1. O limiar de materialidade para o critério «clientes, contrapartes financeiras e transações» é atingido se estiver preenchida qualquer uma das seguintes condições:

a) O número de clientes afetados é superior a 10 % de todos os clientes que utilizam o serviço afetado;

b) O número de clientes afetados que utilizam o serviço afetado é superior a 100 000;

c) O número de contrapartes financeiras afetadas é superior a 30 % de todas as contrapartes financeiras que exercem atividades relacionadas com a prestação do serviço afetado;

d) O número de transações afetadas é superior a 10 % do número médio diário de transações realizadas pela entidade financeira relacionadas com o serviço afetado;

e) A quantidade de transações afetadas é superior a 10 % do valor médio diário das transações realizadas pela entidade financeira relacionadas com o serviço afetado;

f) Foram afetados clientes ou contrapartes financeiras que tenham sido identificados como relevantes nos termos do artigo 1.º , n.º 3. Se não for possível determinar o número real de clientes ou contrapartes financeiras afetados ou o número ou a quantidade real de transações afetadas, a entidade financeira deve estimar esses números ou quantidades com base nos dados disponíveis de períodos de referência comparáveis.

2. O limiar de materialidade para o critério «impacto em termos de reputação» é atingido se estiver preenchida qualquer uma das condições estabelecidas no artigo 2.º , alíneas a) a d).

3. O limiar de materialidade para o critério «duração e tempo de indisponibilidade do serviço» é atingido se estiver preenchida qualquer uma das seguintes condições:

a) A duração do incidente é superior a 24 horas;

b) O tempo de indisponibilidade do serviço é superior a duas horas para os serviços de TIC que apoiam funções críticas ou importantes.

4. O limiar de materialidade para o critério de «distribuição geográfica» é atingido se o incidente tiver um impacto em dois ou mais Estados-Membros, em conformidade com o artigo 4.º .

5. O limiar de materialidade para o critério «perdas de dados» é atingido se estiver preenchida qualquer uma das seguintes condições:

a) Qualquer impacto, tal como referido no artigo 5.º , na disponibilidade, autenticidade, integridade ou confidencialidade dos dados tem ou virá a ter consequências negativas para a realização dos objetivos empresariais da entidade financeira ou para a sua capacidade para cumprir obrigações regulamentares;

b) Qualquer acesso bem-sucedido, mal-intencionado e não autorizado não abrangido pela alínea a) ocorre em sistemas de rede e de informação, sempre que esse acesso possa resultar em perdas de dados.

6. O limiar de materialidade para o critério «impacto económico» é atingido quando os custos e perdas incorridos pela entidade financeira causados pelo incidente excederem, ou for provável que excedam, 100 000 EUR.

Artigo 13.º - Entrada em vigor

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

 

Fonte.

VOLTAR

Últimas Publicações

REGULAMENTO DELEGADO (UE) 2025/1449 DA COMISSÃO - altera o anexo III do Regulamento (CE) n.º 853/2004

REGULAMENTO DELEGADO (UE) 2025/1449 DA COMISSÃO - altera o anexo III do Regulamento (CE) n.º 853/2004
2025-10-30

REGULAMENTO(UE) 2025/2060 DA COMISSÃO - altera o Regulamento (CE) n.º1333/2008 do Parlamento Europeu e do Conselho no que diz respeito à utilização de ácido sórbico (E 200) e de sorbato de potássio (E 202) em mousses de origem vegetal não submetidas. a tratamento térmico

REGULAMENTO(UE) 2025/2060 DA COMISSÃO - altera o Regulamento (CE) n.º1333/2008 do Parlamento Europeu e do Conselho no que diz respeito à utilização de ácido sórbico (E 200) e de sorbato de potássio (E 202) em mousses de origem vegetal não submetidas. a tratamento térmico
2025-10-17

REGULAMENTO(UE) 2025/2058 DA COMISSÃO - altera os anexos II e III, e que retifica o anexo II, do Regulamento (CE) n.º1333/2008 no que se refere a géneros alimentícios destinados a uma alimentação especial

REGULAMENTO(UE) 2025/2058 DA COMISSÃO - altera os anexos II e III, e que retifica o anexo II, do Regulamento (CE) n.º1333/2008 no que se refere a géneros alimentícios destinados a uma alimentação especial
2025-10-16

Alterações aprovadas pelo Parlamento Europeu em 8 de outubro de 2025, sobre a proposta de regulamento do Parlamento Europeu e do Conselho que altera os Regulamentos (UE) n.º 1308/2013, (UE) 2021/2115 e (UE) 2021/2116 no respeitante ao reforço da posição dos agricultores na cadeia de abastecimento alimentar

Alterações aprovadas pelo Parlamento Europeu em 8 de outubro de 2025, sobre a proposta de regulamento do Parlamento Europeu e do Conselho que altera os Regulamentos (UE) n.º 1308/2013, (UE) 2021/2115 e (UE) 2021/2116 no respeitante ao reforço da posição dos agricultores na cadeia de abastecimento alimentar
2025-10-13

REGULAMENTO DE EXECUÇÃO (UE) 2025/1908 DA COMISSÃO - classificação da substância fluralaner no que respeita ao seu limite máximo de resíduos nos alimentos de origem animal

REGULAMENTO DE EXECUÇÃO (UE) 2025/1908 DA COMISSÃO - classificação da substância fluralaner no que respeita ao seu limite máximo de resíduos nos alimentos de origem animal
2025-10-07

DIRETIVA (UE) 2025/1892 DO PARLAMENTO EUROPEU E DO CONSELHO - altera a Diretiva 2008/98/CE relativa aos resíduos

DIRETIVA (UE) 2025/1892 DO PARLAMENTO EUROPEU E DO CONSELHO - altera a Diretiva 2008/98/CE relativa aos resíduos
2025-09-30

Contactos

consultoria@engmonicaleal.pt



Áreas de Atuação

Consultoria em Sistemas de
Qualidade e Segurança Alimentar

Auditorias em Sistemas de
Qualidade e Segurança Alimentar