Art. 9
Umbrales de importancia relativa para determinar los incidentes graves
En vigor desde 13 mar 2024
Artículo 9
Umbrales de importancia relativa para determinar los incidentes graves
1. Se alcanzará el umbral de importancia relativa para el criterio «clientes, contrapartes financieras y transacciones» cuando se cumpla cualquiera de las condiciones siguientes:
a)
cuando el número de clientes afectados sea superior al 10 % del conjunto de los clientes que utilizan el servicio afectado;
b)
el número de clientes afectados que utilizan el servicio afectado sea superior a 100 000;
c)
el número de contrapartes financieras afectadas sea superior al 30 % del conjunto de las contrapartes financieras que llevan a cabo actividades relacionadas con la prestación del servicio afectado;
d)
el número de transacciones afectadas sea superior al 10 % del número medio diario de las transacciones realizadas por la entidad financiera relacionadas con el servicio afectado;
e)
la cantidad de transacciones afectadas sea superior al 10 % del valor medio diario de las transacciones realizadas por la entidad financiera relacionadas con el servicio afectado;
f)
se hayan visto afectados los clientes o las contrapartes financieras que se hayan considerado pertinentes con arreglo a lo establecidos en el artículo 1, apartado 3.
Cuando no pueda determinarse el número real de clientes o contrapartes financieras afectados o el número o la cantidad reales de las transacciones afectadas, la entidad financiera estimará dicho número o dicha cantidad sobre la base de los datos disponibles de períodos de referencia comparables.
2. Se alcanzará el umbral de importancia relativa para el criterio «repercusión en la reputación» cuando se cumpla cualquiera de las condiciones establecidas en el artículo 2, letras a) a d).
3. Se alcanzará el umbral de importancia relativa para el criterio «duración del incidente y duración de la interrupción del servicio» cuando se cumpla cualquiera de las condiciones siguientes:
a)
cuando la duración del incidente sea superior a 24 horas;
b)
cuando la duración de la interrupción del servicio sea superior a dos horas en el caso de los servicios de TIC que sustenten funciones esenciales o importantes.
4. Se alcanzará el umbral de importancia relativa para el criterio de «extensión geográfica» cuando el incidente tenga consecuencias en dos o más Estados miembros de conformidad con lo establecido en el artículo 4.
5. Se alcanzará el umbral de importancia relativa para el criterio «pérdidas de datos» cuando se cumpla cualquiera de las condiciones siguientes:
a)
cuando la incidencia sobre la disponibilidad, la autenticidad, la integridad o la confidencialidad de los datos a que se refiere el artículo 5 tenga o vaya a tener efectos negativos en la consecución de los objetivos empresariales de la entidad financiera o en su capacidad para cumplir los requisitos reglamentarios;
b)
cuando las redes y los sistemas de información sean objeto de un acceso efectivo, malintencionado y no autorizado no contemplado en la letra a), cuando dicho acceso pueda dar lugar a pérdidas de datos.
6. Se alcanzará el umbral de importancia relativa para el criterio «consecuencias económicas» cuando los costes y las pérdidas sufridas por la entidad financiera debido al incidente hayan superado o probablemente puedan superar los 100 000 EUR.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2024:1772:oj#art-9