Articulo 18 Resiliencia operativa digital del sector financiero

1. Las entidades financieras clasificarán los incidentes relacionados con las TIC y determinarán su repercusión con arreglo a los siguientes criterios:

a) número y/o pertinencia de los clientes o las contrapartes financieras afectados y, cuando proceda, la cantidad o el número de transacciones afectadas por el incidente relacionado con las TIC, y si dicho incidente ha repercutido en la reputación;

b) duración del incidente relacionado con las TIC, incluida la duración de la interrupción del servicio;

c) extensión geográfica de las zonas afectadas por el incidente relacionado con las TIC, en especial si afecta a más de dos Estados miembros;

d) pérdidas de datos que el incidente relacionado con las TIC acarree, en relación con la disponibilidad, la autenticidad, la integridad o la confidencialidad de los datos;

e) carácter esencial de los servicios afectados, incluidas las transacciones y operaciones de la entidad financiera;

f) las consecuencias económicas, en particular los costes y las pérdidas directos e indirectos, del incidente relacionado con las TIC, tanto en términos absolutos como relativos.

2. Las entidades financieras clasificarán las ciberamenazas como importantes en función del carácter esencial de los servicios en situación de riesgo, incluidas las transacciones y operaciones de la entidad financiera, el número y/o la pertinencia de los clientes o de las contrapartes financieras a las que se dirigen las amenazas y la extensión geográfica de las zonas de riesgo.

3. Las Autoridades Europeas de Supervisión, a través del Comité Mixto y en consulta con el BCE y la ENISA, elaborarán proyectos de normas técnicas de regulación comunes en las que se especificará más detalladamente lo siguiente:

a) los criterios expuestos en el apartado 1, y en concreto los umbrales de importancia relativa para determinar los incidentes graves relacionados con las TIC o, según corresponda, los incidentes operativos o de seguridad graves relacionados con los pagos que son de obligada notificación con arreglo al artículo 19, apartado 1;

b) los criterios que deberán aplicar las autoridades competentes para evaluar la relevancia de los incidentes graves relacionados con las TIC o, según corresponda, los incidentes operativos o de seguridad graves relacionados con los pagos, para las autoridades competentes pertinentes de otros Estados miembros, y los detalles de las notificaciones de incidentes graves relacionados con las TIC o, según corresponda, incidentes operativos o de seguridad graves relacionados con los pagos, que deberán compartirse con otras autoridades competentes en virtud del artículo 19, apartados 6 y 7;

c) los criterios establecidos en el apartado 2 del presente artículo, incluidos umbrales de importancia relativa elevados para determinar las ciberamenazas importantes.

4. Cuando elaboren los proyectos de normas técnicas de regulación comunes a que se refiere el apartado 3 del presente artículo, las Autoridades Europeas de Supervisión tendrán en cuenta los criterios establecidos en el artículo 4, apartado 2, así como las normas internacionales, las orientaciones y las especificaciones elaboradas y publicadas por la ENISA, incluidas, cuando proceda, las especificaciones para otros sectores económicos. A efectos de la aplicación de los criterios establecidos en el artículo 4, apartado 2, las Autoridades Europeas de Supervisión tendrán debidamente en cuenta la necesidad de que las microempresas y las pequeñas y medianas empresas movilicen recursos y capacidades suficientes para garantizar una gestión rápida de los incidentes relacionado con las TIC.

Las Autoridades Europeas de Supervisión presentarán a la Comisión dichos proyectos de normas técnicas de regulación comunes a más tardar el 17 de enero de 2024.

Se delegan en la Comisión los poderes para completar el presente Reglamento mediante la adopción de las normas técnicas de regulación a que se refiere el apartado 3 de conformidad con los artículos 10 a 14 del Reglamento (UE) n.º 1093/2010, los artículos 10 a 14 del Reglamento (UE) n.º 1094/2010 y los artículos 10 a 14 del Reglamento (UE) n.º 1095/2010.