- wstępne powiadomienie;

- sprawozdanie śródokresowe;

- sprawozdanie końcowe;

- poważny incydent przeklasyfikowany jako inny niż poważny.

przedkładającego sprawozdanie

podmiotu przedkładającego sprawozdanie

W przypadku gdy powiadomienie/sprawozdanie przedkładają podmioty finansowe, kodem identyfikacyjnym jest identyfikator podmiotu prawnego (LEI), który jest niepowtarzalnym kodem składającym się z 20 znaków alfanumerycznych, zgodnie z ISO 17442-1:2020.

Dostawca będący osobą trzecią, który przedkłada sprawozdanie w imieniu podmiotu finansowego, może stosować kod identyfikacyjny określony w wykonawczych standardach technicznych przyjętych na podstawie art. 28 ust. 9 rozporządzenia (UE) 2022/2554.

finansowego, którego dotyczy incydent

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, należy wybrać różne rodzaje podmiotów finansowych objętych sprawozdawczością zagregowaną.

- instytucja kredytowa;

- instytucja płatnicza;

- zwolniona instytucja płatnicza;

- dostawca świadczący usługę dostępu do informacji o rachunku;

- instytucja pieniądza elektronicznego;

- zwolniona instytucja pieniądza elektronicznego;

- firma inwestycyjna;

- dostawca usług w zakresie kryptoaktywów;

- emitent tokenów powiązanych z aktywami;

- centralny depozyt papierów wartościowych;

- kontrahent centralny;

- system obrotu;

- repozytorium transakcji;

- zarządzający alternatywnym funduszem inwestycyjnym;

- spółka zarządzająca;

- dostawca usług w zakresie udostępniania informacji;

- zakład ubezpieczeń i zakład reasekuracji;

- pośrednik ubezpieczeniowy, pośrednik reasekuracyjny i pośrednik oferujący ubezpieczenia uzupełniające;

- instytucja pracowniczych programów emerytalnych;

- agencja ratingowa;

- administrator kluczowych wskaźników referencyjnych;

- dostawca usług finansowania społecznościowego;

- repozytorium sekurytyzacji.

finansowego, którego dotyczy incydent

W przypadku sprawozdawczości zagregowanej:

a) wykaz wszystkich nazw podmiotów finansowych, których dotyczy poważny incydent związany z ICT, oddzielonych średnikiem.

b) dostawca będący osobą trzecią, który przedkłada powiadomienie lub sprawozdanie dotyczące poważnego incydentu w sposób zagregowany określony w art. 7 niniejszego rozporządzenia, przedstawia wykaz nazw wszystkich podmiotów finansowych, których dotyczy incydent, oddzielonych średnikiem.

W przypadku sprawozdawczości zagregowanej:

a) wykaz wszystkich kodów LEI podmiotów finansowych, których dotyczy poważny incydent związany z ICT, oddzielonych średnikiem;

b) dostawca będący osobą trzecią, który przedkłada powiadomienie lub sprawozdanie dotyczące poważnego incydentu w sposób zagregowany określony w art. 7 niniejszego rozporządzenia, przedstawia wykaz kodów LEI wszystkich podmiotów finansowych, których dotyczy incydent, oddzielonych średnikiem.

Kolejność podawania kodów LEI i nazw podmiotów finansowych musi być identyczna.

jest inny niż podmiot przedkładający sprawozdanie oraz w przypadku sprawozdawczości zagregowanej.

podmiot przedkładający sprawozdanie oraz w przypadku sprawozdawczości zagregowanej.

jest inny niż podmiot przedkładający sprawozdanie oraz w przypadku sprawozdawczości zagregowanej.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, imię i nazwisko głównej osoby wyznaczonej do kontaktów w podmiocie przedkładającym sprawozdanie zagregowane.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, adres e-mail głównej osoby wyznaczonej do kontaktów w podmiocie przedkładającym sprawozdanie zagregowane.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, numer telefonu głównej osoby wyznaczonej do kontaktów w podmiocie przedkładającym sprawozdanie zagregowane.

Numer telefonu należy podać ze wszystkimi międzynarodowymi prefiksami (np. +33XXXXXXXXX).

dodatkowej osoby wyznaczonej do kontaktów

dodatkowej osoby wyznaczonej do kontaktów

Numer telefonu należy podać ze wszystkimi międzynarodowymi prefiksami (np. +33XXXXXXXXX).

dominującej najwyższego szczebla

incydentu nadany przez podmiot finansowy

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, kod referencyjny incydentu nadany przez dostawcę będącego osobą trzecią.

W przypadku powtarzających się incydentów - data i godzina wykrycia ostatniego incydentu związanego z ICT.

sklasyfikowania incydentu jako poważny

związanego z ICT

Podmioty finansowe przedstawiają ogólny przegląd następujących informacji, takich jak możliwe przyczyny, bezpośrednie skutki, systemy, których dotyczy incydent, i inne. Podmioty finansowe uwzględniają, jeżeli to wiedzą lub mogą tego w uzasadniony sposób oczekiwać, czy incydent ma wpływ na dostawców będących osobami trzecimi lub inne podmioty finansowe, jak również rodzaj dostawcy lub podmiotu finansowego, ich nazwę, odpowiednie kody identyfikacyjne oraz rodzaj kodu identyfikacyjnego (np. LEI lub EUID).

W kolejnych sprawozdaniach treści wpisywane do tego pola mogą z czasem ulec zmianie, aby odzwierciedlić aktualną wiedzę na temat incydentu związanego z ICT i opisać wszelkie inne istotne informacje na temat incydentu związanego z ICT, które nie zostały ujęte w polach danych, można przy tym uwzględnić wewnętrzną ocenę dotkliwości przeprowadzoną przez podmiot finansowy (np. bardzo niska, niska, średnia, wysoka, bardzo wysoka) oraz wskazać poziom i nazwę struktur decyzyjnych najwyższego stopnia, które były zaangażowane w reakcję na incydent związany z ICT.

które doprowadziły do zgłoszenia incydentu

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, kryteria klasyfikacji, które doprowadziły do uznania incydentu związanego z ICT za poważny, w odniesieniu do co najmniej jednego podmiotu finansowego.

- klienci, kontrahenci finansowi i transakcje, których dotyczy incydent;

- skutki reputacyjne;

- czas trwania incydentu i przerwa w świadczeniu usług;

- zasięg geograficzny;

- utrata danych;

- usługi krytyczne, których dotyczy incydent;

- skutki gospodarcze.

Oceniając skutki poważnego incydentu związanego z ICT w innych państwach członkowskich, podmioty finansowe uwzględniają art. 4 i 12 rozporządzenia delegowanego (UE) 2024/1772.

- bezpieczeństwo informatyczne;

- personel;

- audyt wewnętrzny;

- audyt zewnętrzny;

- klienci;

- kontrahenci finansowi;

- dostawca usług będący osobą trzecią;

- agresor;

- systemy monitorowania;

- organ/agencja/organ ścigania;

- inne.

Podmioty finansowe wskazują, czy poważny incydent związany z ICT wywodzi się od dostawcy będącego osobą trzecią lub innego podmiotu finansowego (w tym od podmiotów finansowych należących do tej samej grupy co podmiot zgłaszający), a także podają nazwę i kod identyfikacyjny dostawcy będącego osobą trzecią lub podmiotu finansowego oraz rodzaj kodu identyfikacyjnego (np. LEI lub EUID).

Podmioty finansowe, które przeklasyfikowały poważny incydent związany z ICT jako inny niż poważny, opisują powody, dla których incydent związany z ICT nie spełnia kryteriów uznania za poważny incydent związany z ICT i dla których nie oczekuje się ich spełnienia.

incydentu podany przez właściwy organ

wystąpienia incydentu

W przypadku powtarzających się poważnych incydentów związanych z ICT - data i godzina wystąpienia ostatniego poważnego incydentu związanego z ICT.

przywrócenia usług, działań lub operacji

Oceniając liczbę klientów, których dotyczy incydent, podmioty finansowe uwzględniają w swojej ocenie art. 1 ust. 1 i art. 9 ust. 1 lit. b) rozporządzenia delegowanego (UE) 2024/1772. Podmiot finansowy, który nie może określić faktycznej liczby klientów, których dotyczy incydent, stosuje szacunki oparte na dostępnych danych pochodzących z porównywalnych okresów odniesienia.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, łączna liczba klientów, których dotyczy incydent, we wszystkich podmiotach finansowych.

których dotyczy incydent

Podmioty finansowe uwzględniają w swojej ocenie art. 1 ust. 1 i art. 9 ust. 1 lit. a) rozporządzenia delegowanego (UE) 2024/1772.

Podmiot finansowy, który nie może określić faktycznego odsetka klientów, których dotyczy incydent, stosuje szacunki oparte na dostępnych danych pochodzących z porównywalnych okresów odniesienia.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, podmiot finansowy dzieli sumę wszystkich klientów, których dotyczy incydent, przez łączną liczbę klientów wszystkich podmiotów finansowych, których dotyczy incydent.

Oceniając liczbę kontrahentów finansowych, których dotyczy incydent, podmioty finansowe uwzględniają w swojej ocenie art. 1 ust. 2 rozporządzenia delegowanego (UE) 2024/1772. Podmiot finansowy, który nie może określić faktycznej liczby kontrahentów finansowych, których dotyczy incydent, stosuje szacunki oparte na dostępnych danych pochodzących z porównywalnych okresów odniesienia.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, łączna liczba kontrahentów finansowych, których dotyczy incydent, we wszystkich podmiotach finansowych.

Oceniając odsetek kontrahentów finansowych, których dotyczy incydent, podmioty finansowe uwzględniają w swojej ocenie art. 1 ust. 1 i art. 9 ust. 1 lit. c) rozporządzenia delegowanego (UE) 2024/1772.

Podmiot finansowy, który nie może określić faktycznego odsetka kontrahentów finansowych, których dotyczy incydent, stosuje szacunki oparte na dostępnych danych pochodzących z porównywalnych okresów odniesienia.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, należy wskazać sumę wszystkich kontrahentów finansowych, których dotyczy incydent, podzieloną przez łączną liczbę kontrahentów finansowych wszystkich podmiotów finansowych, których dotyczy incydent.

których dotyczy incydent

Oceniając wpływ na transakcje, podmioty finansowe uwzględniają art. 1 ust. 4 rozporządzenia delegowanego (UE) 2024/1772, w tym wszystkie obejmujące kwotę pieniężną transakcje krajowe i transgraniczne, których dotyczy incydent, w przypadku których co najmniej jedna część transakcji została przeprowadzona w Unii.

Podmiot finansowy, który nie może określić faktycznej liczby transakcji, których dotyczy incydent, stosuje szacunki oparte na dostępnych danych pochodzących z porównywalnych okresów odniesienia.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, należy podać całkowitą liczbę transakcji, których dotyczy incydent, we wszystkich podmiotach finansowych.

których dotyczy incydent

Podmioty finansowe uwzględniają art. 1 ust. 4 i art. 9 ust. 1 lit. d) rozporządzenia delegowanego (UE) 2024/1772.

Podmiot finansowy, który nie może określić faktycznego odsetka transakcji, na które incydent wywarł wpływ, stosuje szacunki.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, podmiot finansowy sumuje liczbę wszystkich transakcji, których dotyczy incydent, i dzieli tę sumę przez całkowitą liczbę transakcji wszystkich podmiotów finansowych, których dotyczy incydent.

których dotyczy incydent

Podmiot finansowy, który nie może określić faktycznej wartości transakcji, których dotyczy incydent, stosuje szacunki oparte na dostępnych danych pochodzących z porównywalnych okresów odniesienia.

Podmiot finansowy wykazuje kwotę pieniężną jako wartość dodatnią.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, całkowita wartość transakcji, których dotyczy incydent, we wszystkich podmiotach finansowych.

Podmioty finansowe przedstawiają punkt danych w jednostkach, stosując minimalną dokładność odpowiadającą tysiącom jednostek (np. 2,5 zamiast 2 500 EUR).

- rzeczywiste dane liczbowe dotyczące klientów, których dotyczy incydent;

- rzeczywiste dane dotyczące kontrahentów finansowych, których dotyczy incydent;

- rzeczywiste dane liczbowe dotyczące transakcji, których dotyczy incydent;

- szacunki dotyczące klientów, których dotyczy incydent;

- szacunki dotyczące kontrahentów finansowych, których dotyczy incydent;

- szacunki dotyczące transakcji, których dotyczy

incydent;

- brak skutków dla klientów;

- brak skutków dla kontrahentów finansowych;

- brak skutków dla transakcji.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, kategorie skutków reputacyjnych, które mają zastosowanie do co najmniej jednego podmiotu finansowego.

- poważny incydent związany z ICT został opisany w mediach;

- poważny incydent związany z ICT doprowadził do powtarzających się skarg ze strony różnych klientów lub kontrahentów finansowych dotyczących usług ukierunkowanych na klienta lub krytycznych relacji biznesowych;

- w wyniku poważnego incydentu związanego z ICT podmiot finansowy nie będzie w stanie lub prawdopodobnie nie będzie w stanie spełnić wymogów regulacyjnych;

- w wyniku poważnego incydentu związanego z ICT podmiot finansowy utraci lub prawdopodobnie utraci klientów lub kontrahentów finansowych, co będzie miało istotny wpływ na jego działalność.

Informacje kontekstowe obejmują rodzaj mediów (np. media tradycyjne i cyfrowe, blogi, platformy transmisji strumieniowej) oraz relacje medialne, w tym zasięg mediów (lokalne, krajowe, międzynarodowe). Relacje medialne w tym kontekście nie oznaczają kilku negatywnych komentarzy osób obserwujących lub użytkowników sieci społecznościowych.

Podmiot finansowy wskazuje również, czy w relacjach medialnych zwrócono uwagę na istotne ryzyko dla jego klientów w związku z poważnym incydentem związanym z ICT, w tym ryzyko niewypłacalności podmiotu finansowego lub ryzyko utraty środków finansowych.

Podmioty finansowe wskazują również, czy przekazały mediom informacje, które służyły wiarygodnemu informowaniu opinii publicznej o poważnym incydencie związanym z ICT i jego konsekwencjach.

Podmioty finansowe mogą również wskazać, czy w mediach pojawiały się fałszywe informacje dotyczące incydentu związanego z ICT, w tym informacje oparte na informacjach celowo wprowadzających w błąd rozpowszechnianych przez agresorów lub informacje dotyczące ataku typu defacement na stronę internetową podmiotu finansowego lub informacje ilustrujące taki atak.

Podmioty finansowe, które nie są w stanie określić momentu wystąpienia poważnego incydentu związanego z ICT, mierzą czas trwania poważnego incydentu związanego z ICT od wcześniejszego z następujących momentów: momentu wykrycia incydentu przez podmiot finansowy lub momentu zarejestrowania incydentu w dzienniku sieciowym lub systemowym lub w innych źródłach danych. Podmioty finansowe, które nie wiedzą jeszcze, kiedy uda się zaradzić poważnemu incydentowi związanemu z ICT, stosują oszacowania. Wartość wyraża się w dniach, godzinach i minutach.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, jeżeli między podmiotami finansowymi występują różnice, podmioty finansowe mierzą najdłuższy czas trwania poważnego incydentu związanego z ICT.

W przypadku gdy przerwa w świadczeniu usług powoduje opóźnienie w świadczeniu usługi po przywróceniu regularnych działań lub operacji, podmioty finansowe mierzą czas przestoju od początku poważnego incydentu związanego z ICT do momentu, w którym usługa, w przypadku której wystąpiło opóźnienie, jest świadczona. Podmioty finansowe, które nie są w stanie określić momentu rozpoczęcia przerwy w świadczeniu usług, mierzą przerwę w świadczeniu usług od wcześniejszego z następujących momentów: momentu wykrycia incydentu lub momentu jego zarejestrowania.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, jeżeli między podmiotami finansowymi występują różnice, podmioty finansowe mierzą najdłuższy czas trwania przerwy w świadczeniu usług.

- rzeczywiste dane liczbowe;

- szacunki

- rzeczywiste dane liczbowe i szacunki;

- brak informacji.

w państwach członkowskich

Wskazanie, czy skutki poważnego incydentu związanego z ICT są lub były odczuwalne w innych państwach członkowskich EOG (innych niż państwo członkowskie właściwego organu, któremu incydent jest bezpośrednio zgłaszany), zgodnie z art. 4 rozporządzenia delegowanego (Ue) 2024/1772, w szczególności w odniesieniu do znaczenia skutków dla:

a) klientów i kontrahentów finansowych, których dotyczy incydent, w innych państwach członkowskich; lub

b) oddziałów lub innych podmiotów finansowych należących do grupy prowadzących działalność w innych państwach członkowskich; lub

c) infrastruktur rynków finansowych lub dostawców będących osobami trzecimi, mogących mieć wpływ na podmioty finansowe w innych państwach członkowskich, na rzecz których świadczą usługi.

- klienci;

- kontrahenci finansowi

- oddział podmiotu finansowego;

- podmioty finansowe należące do grupy prowadzące działalność w danym państwie członkowskim;

- infrastruktura rynków finansowych;

- dostawcy będący osobami trzecimi, którzy mogą świadczyć usługi na rzecz innych podmiotów finansowych.

a) klientów;

b) kontrahentów finansowych;

c) oddziałów podmiotu finansowego;

d) innych podmiotów finansowych należących do grupy prowadzących działalność w danym państwie członkowskim;

e) infrastruktur rynków finansowych;

f) dostawców będących osobami trzecimi, którzy mogą świadczyć usługi na rzecz innych podmiotów finansowych, stosownie do przypadku w innym państwie członkowskim (innych państwach członkowskich).

Podmioty finansowe uwzględniają w swojej ocenie art. 5 i 13 rozporządzenia delegowanego (UE) 2024/1772.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, utrata danych dotycząca co najmniej jednego podmiotu finansowego.

- autentyczność;

- integralność;

- poufność.

Informacje na temat wpływu na osiąganie celów biznesowych podmiotu finansowego lub na spełnienie wymogów regulacyjnych.

W ramach przekazywanych informacji podmioty finansowe wskazują, czy dane, których dotyczy incydent, to dane dotyczące klientów, dane dotyczące innych podmiotów (np. kontrahentów finansowych) czy dane dotyczące samego podmiotu finansowego.

Podmiot finansowy może również wskazać rodzaj danych związanych z incydentem - w szczególności, czy dane są poufne i jakim rodzajem poufności są objęte dane (np. poufność informacji handlowych/tajemnica przedsiębiorstwa, dane osobowe, tajemnica zawodowa: tajemnica bankowa, tajemnica ubezpieczeniowa, tajemnica usług płatniczych itp.).

Informacje te mogą również obejmować ewentualne ryzyko związane z utratą danych, na przykład, czy dane, których dotyczy incydent, można wykorzystać do identyfikacji osób fizycznych oraz czy agresor może użyć tych danych do uzyskania kredytu lub pożyczki bez zgody tych osób, do przeprowadzenia profilowanego phishingu, do publicznego ujawnienia informacji.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, ogólny opis wpływu incydentu na podmioty finansowe, których dotyczy incydent. Jeżeli występują różnice w skutkach, w opisie wpływu należy wyraźnie określić konkretny wpływ na poszczególne podmioty finansowe.

Podmioty finansowe uwzględniają w swojej ocenie art. 6 rozporządzenia delegowanego (UE) 2024/1772, w tym informacje dotyczące:

- usług lub rodzajów działalności, których dotyczy incydent, które wymagają zezwolenia, rejestracji lub są nadzorowane przez właściwe organy; lub

- usług ICT lub sieci i systemów informatycznych, które wspierają krytyczne lub istotne funkcje podmiotu finansowego; oraz

- charakteru złośliwego i nieuprawnionego dostępu do sieci i systemów informatycznych podmiotu finansowego.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, wpływ na usługi krytyczne, które mają zastosowanie do co najmniej jednego podmiotu finansowego.

- incydent związany z cyberbezpieczeństwem;

- awaria procesu;

- awaria systemu;

- zdarzenie zewnętrzne

- incydent związany z płatnością;

- inny (proszę określić).

a) inżynierię społeczną, w tym phishing;

b) (D)DoS;

c) kradzież tożsamości;

d) szyfrowanie danych na potrzeby ataku, w tym oprogramowanie szantażujące;

e) bezprawne zawładnięcie zasobami;

f) eksfiltrację danych i manipulację danymi, z wyłączeniem kradzieży tożsamości;

g) niszczenie danych;

h) atak typu defacement;

i) atak na łańcuch dostaw;

j) inne (proszę określić).

- inżynieria społeczna (w tym phishing);

- (D)DoS;

- kradzież tożsamości;

- szyfrowanie danych na potrzeby ataku, w tym oprogramowanie szantażujące;

- bezprawne zawładnięcie zasobami;

- eksfiltracja danych i manipulacja danymi, w tym kradzież tożsamości;

- niszczenie danych;

- atak typu defacement

- atak na łańcuch dostaw;

- inne (proszę określić).

Podmioty finansowe, które wybrały "inny" rodzaj technik w polu danych 3.25, określają rodzaj techniki.

i procesów biznesowych, których dotyczy incydent

Obszary funkcjonalne obejmują między innymi:

a) marketing i rozwój działalności gospodarczej;

b) obsługę klientów;

c) zarządzanie produktem;

d) przestrzeganie przepisów;

e) zarządzanie ryzykiem;

f) finanse i rachunkowość;

g) usługi w zakresie zasobów kadrowych i usługi ogólne;

h) technologie informacyjne.

Procesy biznesowe obejmują między innymi:

- dostęp do informacji o rachunku;

- usługi aktuarialne;

- usługi acquiringu transakcji płatniczych;

- uwierzytelnianie/autoryzację;

- onboarding organu/klienta;

- zarządzanie świadczeniami;

- zarządzanie wypłatą świadczeń;

- zakup i sprzedaż pakietów polis ubezpieczeniowych między zakładami

ubezpieczeń;

- płatności kartą;

- zarządzanie środkami pieniężnymi;

- lokaty lub wypłaty środków pieniężnych;

- obsługa roszczeń ubezpieczeniowych;

- proces dochodzenia roszczeń ubezpieczeniowych;

- rozliczenia;

- konglomeraty kredytów korporacyjnych;

- ubezpieczenia zbiorowe;

- polecenia przelewu;

- przechowywanie aktywów;

- onboarding klientów;

- przyjmowanie danych,

- przetwarzanie danych;

- polecenia zapłaty;

- ubezpieczenia eksportowe;

- finalizowanie transakcji/umów;

- subemisja instrumentów finansowych;

- rachunkowość na potrzeby funduszu;

- pieniądze na rynku walutowym;

- doradztwo inwestycyjne;

- zarządzanie inwestycjami,

- wydawanie instrumentów płatniczych;

- zarządzanie kredytami;

- proces płatności z tytułu ubezpieczeń na życie;

- usługi przekazu pieniężnego;

- obliczanie aktywów netto;

- zlecenie;

- inicjowanie płatności;

- zawieranie umów ubezpieczenia;

- zarządzanie portfelem;

- pobieranie składek;

- przyjmowanie/przekazywanie/wykonywanie;

- reasekuracja;

- rozrachunek;

- monitorowanie transakcji.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, obszary funkcjonalne i procesy biznesowe, których dotyczy incydent, w co najmniej jednym podmiocie finansowym

- Tak

- Nie

- Brak informacji

Sprzęt obejmuje serwery, komputery, ośrodki przetwarzania danych, przełączniki, routery, centra obsługi. Oprogramowanie obejmuje systemy operacyjne, aplikacje, bazy danych, narzędzia zapewniające bezpieczeństwo, elementy sieci, inne (należy określić). W opisach tych należy opisać lub wymienić elementy lub systemy infrastruktury, których dotyczy incydent, oraz, jeżeli są dostępne:

a) informacje na temat wersji;

b) infrastruktura wewnętrzna/częściowo zlecana na zewnątrz/całkowicie

zlecana na zewnątrz - nazwa dostawcy będącego osobą trzecią;

c) czy infrastruktura jest wspólnie wykorzystywana lub dzielona przez różne funkcje biznesowe;

d) obowiązujące odpowiednie ustalenia dotyczące odporności/ciągłości/ odzyskiwania/substytucyjności.

- Tak;

- Nie;

- Brak informacji.

Biorąc pod uwagę różnice wynikające z przepisów krajowych państw członkowskich, podmioty finansowe powinny rozumieć pojęcie organów ścigania szeroko - jako obejmujące organy publiczne uprawnione do ścigania cyberprzestępstw, w tym policję, organy ścigania i prokuratorów.

- CSIRT;

- organ ochrony danych;

- krajowa agencja ds. cyberbezpieczeństwa;

- żadne;

- inne (proszę określić).

organów

Jeżeli w polu danych 3.31 wybrano "inne", w opisie należy zawrzeć bardziej szczegółowe informacje na temat organu, któremu podmiot finansowy przekazał informacje na temat poważnego incydentu związanego z ICT.

tymczasowych działań i środków podjętych lub planowanych w celu przywrócenia sytuacji sprzed incydentu

Podmioty finansowe podają datę i godzinę wdrożenia działań tymczasowych oraz przewidywaną datę powrotu do głównego miejsca przetwarzania danych. W przypadku wszelkich działań tymczasowych, które nie zostały wdrożone, ale są nadal planowane, należy podać oczekiwany termin ich wdrożenia.

Jeżeli nie podjęto żadnych działań/środków tymczasowych, należy podać powód.

integralności systemu

Pole to ma zastosowanie wyłącznie do tych podmiotów finansowych, które są objęte zakresem stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 (1), oraz, w stosownych przypadkach, do podmiotów finansowych zidentyfikowanych jako podmioty kluczowe lub ważne zgodnie z przepisami krajowymi transponującymi art. 3 dyrektywy (UE) 2022/2555.

Oznaki naruszenia integralności systemu zgłaszane przez podmiot finansowy obejmują następujące kategorie danych:

a) adresy IP;

b) adresy URL;

c) domeny;

d) hasze plików;

e) dane dotyczące złośliwego oprogramowania (nazwa złośliwego oprogramowania, nazwy plików i ich lokalizacje, konkretne klucze rejestrów związane z działaniem złośliwego oprogramowania);

f) dane dotyczące działania sieci (porty, protokoły, adresy, odesłania, aplikacje klienckie, nagłówki, konkretne rejestry lub odmienne schematy ruchu w sieci);

g) dane dotyczące wiadomości e-mail (nadawca, odbiorca, temat, nagłówek, treść);

h) wnioski DNS i konfiguracje rejestrów;

i) czynności związane z kontem użytkownika (loginy, uprzywilejowana działalność związana z kontem użytkownika, eskalacja uprzywilejowania);

j) ruch w bazach danych (odczyt/zapis), wnioski o dostęp do tego samego pliku.

W praktyce tego rodzaju informacje mogą obejmować dane dotyczące m.in. wskaźników opisujących schematy ruchu w sieci odpowiadające znanym atakom/znanej komunikacji w sieci urządzeń zainfekowanych złośliwym oprogramowaniem, adresy IP urządzeń zainfekowanych złośliwym oprogramowaniem (boty), dane dotyczące serwerów "dowodzenia i kontroli" wykorzystywanych przez złośliwe oprogramowanie (zazwyczaj domeny lub adresy IP) oraz adresy URL dotyczące stron typu phishing lub obserwowanych stron internetowych, na których znajdują się złośliwe oprogramowanie lub narzędzia typu exploit kit.

przyczyn źródłowych incydentu

a) złośliwe działania;

b) awaria procesu;

c) awaria/nieprawidłowe działanie systemu;

d) błąd ludzki;

e) zdarzenie zewnętrzne.

- awaria procesu;

- awaria/nieprawidłowe działanie systemu;

- błąd ludzki;

- zdarzenie zewnętrzne.

g) uszkodzenie fizyczne: poważne incydenty związane z ICT spowodowane fizycznym uszkodzeniem infrastruktury ICT, które prowadzi do awarii systemu;

h) inne (proszę określić).

4. Błąd ludzki (w przypadku zaznaczenia tej opcji należy wybrać co najmniej jedną z następujących opcji):

a) pominięcie (nieumyślne);

b) błąd;

c) umiejętności i wiedza: poważne incydenty związane z ICT wynikające z braku fachowej wiedzy lub biegłości w obsłudze systemów lub procesów ICT, co może być spowodowane nieodpowiednim szkoleniem, niewystarczającą wiedzą lub brakami w umiejętnościach wymaganych do wykonywania określonych zadań lub rozwiązywania problemów technicznych;

d) niewystarczające zasoby ludzkie: poważne incydenty związane z ICT spowodowane brakiem niezbędnych zasobów, w tym sprzętu, oprogramowania, infrastruktury lub personelu, w tym sytuacje, w których niewystarczające zasoby prowadzą do niewydolności operacyjnej, awarii systemu lub niemożności zaspokojenia potrzeb biznesowych;

e) zakłócenia w komunikacji;

f) inne (proszę określić).

5. Zdarzenie zewnętrzne (w przypadku zaznaczenia tej opcji należy wybrać co najmniej jedną z następujących opcji):

a) klęski żywiołowe/siła wyższa;

b) awarie ze strony osób trzecich;

c) inne (proszę określić).

Podmioty finansowe biorą pod uwagę, że w przypadku powtarzających się poważnych incydentów związanych z ICT uwzględnia się konkretną, widoczną przyczynę źródłową incydentu, a nie szerokie kategorie wymienione w tym polu.

- złośliwe działania: celowe działania wewnętrzne;

- złośliwe działania: umyślne uszkodzenie fizyczne/manipulacja/kradzież;

- złośliwe działania: oszukańcze działania;

- awaria procesu: niewystarczające

monitorowanie lub brak monitorowania

i kontroli;

- awaria procesu: niewystarczający/niejasny podział ról i obowiązków;

- awaria procesu: awaria procesu zarządzania ryzykiem związanym z ICT;

- awaria procesu: niewystarczające operacje ICT i operacje związane z bezpieczeństwem ICT lub ich niepowodzenie;

- awaria procesu: niewystarczające zarządzanie projektami ICT lub jego niepowodzenie;

- awaria procesu: nieodpowiednie wewnętrzne polityki, procedury lub dokumentacja;

- awaria procesu: nieodpowiednie pozyskiwanie, rozwój lub utrzymanie systemów ICT;

- awaria procesu: inne (należy określić);

- awaria systemu: możliwości i wydajność sprzętu;

- awaria systemu: konserwacja sprzętu;

- awaria systemu: utrata przydatności/starzenie się sprzętu;

- awaria systemu: kompatybilność/konfiguracja oprogramowania;

- awaria systemu: efektywność oprogramowania;

- awaria systemu: konfiguracja sieci;

- awaria systemu: uszkodzenie fizyczne;

- awaria systemu: inne (należy określić);

- błąd ludzki: pominięcie; -błąd ludzki: błąd;

- błąd ludzki: umiejętności i wiedza;

- błąd ludzki: niewystarczające zasoby ludzkie;

- błąd ludzki: zakłócenia w komunikacji;

- błąd ludzki: inne (należy określić);

- zdarzenie zewnętrzne: klęski żywiołowe/siła wyższa;

- zdarzenie zewnętrzne: awarie ze strony osób trzecich;

- zdarzenie zewnętrzne: inne (proszę określić).

Pole to jest obowiązkowe w przypadku sprawozdania końcowego, jeżeli w polu danych 4.2 zgłoszono konkretne kategorie, które wymagają uszczegółowienia.

2(a) Niewystarczające monitorowanie lub brak monitorowania

i kontroli:

a) monitorowanie zgodności z polityką;

b) monitorowanie usługodawców będących osobami trzecimi;

c) monitorowanie i weryfikowanie eliminowania podatności;

d) zarządzanie tożsamością i dostępem;

e) szyfrowanie i kryptografia;

f) rejestrowanie.

2(c) Awaria procesu zarządzania ryzykiem związanym z ICT:

a) nieokreślenie dokładnych poziomów tolerancji ryzyka;

b) niewystarczające oceny podatności na zagrożenia i zagrożeń;

c) nieodpowiednie środki zmniejszające ryzyko;

d) nieodpowiednie zarządzanie rezydualnym ryzykiem

związanym z ICT.

2(d) Niewystarczające operacje ICT i operacje związane

z bezpieczeństwem ICT lub ich niepowodzenie:

a) zarządzanie podatnościami i poprawkami;

b) zarządzanie zmianą;

c) zarządzanie możliwościami i wydajnością;

d) zarządzanie aktywami ICT i klasyfikacja informacji;

e) kopia zapasowa i przywracanie danych;

f) obsługa błędów.

2(g) Nieodpowiednie pozyskiwanie, rozwój lub utrzymanie

systemów ICT:

a) nieodpowiednie pozyskiwanie, rozwój lub utrzymanie systemów ICT;

b) niewystarczające testowanie oprogramowania lub brak/ niepowodzenie testowania oprogramowania.

- monitorowanie zgodności z polityką;

- monitorowanie usługodawców będących osobami trzecimi;

- monitorowanie i weryfikowanie eliminowania podatności;

- zarządzanie tożsamością i dostępem;

- szyfrowanie i kryptografia;

- rejestrowanie;

- nieokreślenie dokładnych poziomów tolerancji ryzyka;

- niewystarczające oceny podatności na zagrożenia i zagrożeń;

- nieodpowiednie środki zmniejszające ryzyko;

- nieodpowiednie zarządzanie rezydualnym ryzykiem związanym z ICT;

- zarządzanie podatnościami i poprawkami;

- zarządzanie zmianą;

- zarządzanie możliwościami i wydajnością;

- zarządzanie aktywami ICT i klasyfikacja informacji;

- kopia zapasowa i przywracanie danych;

- obsługa błędów;

- nieodpowiednie pozyskiwanie, rozwój lub utrzymanie systemów ICT;

- niewystarczające testowanie oprogramowania lub brak/niepowodzenie testowania oprogramowania.

W przypadku gdy miały miejsce złośliwe działania, opis przebiegu złośliwego działania, w tym zastosowane taktyki, techniki i procedury, a także wektor wejścia poważnego incydentu związanego z ICT, w tym, w stosownych przypadkach, opis badań i analiz, które doprowadziły do identyfikacji przyczyn źródłowych.

Wnioski wyciągnięte z poważnego incydentu związanego z ICT.

Opis zawiera następujące punkty:

1. Opis działań podjętych w celu zaradzenia incydentowi

a) działania podjęte w celu trwałego zaradzenia poważnemu incydentowi związanemu z ICT (z wyłączeniem wszelkich działań tymczasowych);

b) w odniesieniu do każdego podjętego działania należy wskazać potencjalny udział dostawcy będącego osobą trzecią i podmiotu finansowego;

c) należy wskazać, czy procedury zostały dostosowane

w następstwie poważnego incydentu związanego z ICT;

d) należy wskazać wszelkie dodatkowe kontrole, które

wprowadzono lub które zaplanowano, wraz z odpowiednim harmonogramem wdrażania.

W stosownych przypadkach, potencjalne kwestie zidentyfikowane w odniesieniu do solidności systemów informatycznych, na które incydent wywarł wpływ, lub potencjalne kwestie dotyczące obowiązujących procedur lub kontroli.

Podmioty finansowe wyraźnie określają, w jaki sposób planowane działania naprawcze wyeliminują zidentyfikowane przyczyny źródłowe oraz kiedy oczekuje się trwałego zaradzenia poważnemu incydentowi związanemu z ICT.

2. Wyciągnięte wnioski

Podmioty finansowe opisują ustalenia z przeglądu dokonanego po wystąpieniu incydentu.

zaradzenia incydentowi

Podmioty, o których mowa w art. 1 ust. 1 dyrektywy 2014/59/UE, wskazują, czy incydent stwarza ryzyko dla funkcji krytycznych w rozumieniu art. 2 ust. 1 pkt 35 dyrektywy 2014/59/UE, zgłoszonych w szablonie Z07.01 określonym w rozporządzeniu wykonawczym Komisji (UE) 2018/1624 (3) i przyporządkowanych do konkretnego podmiotu w szablonie Z07.02.

restrukturyzacji

i uporządkowanej likwidacji

Podmioty, o których mowa w art. 1 ust. 1 dyrektywy 2014/59/UE, przekazują informacje na temat tego, czy poważny incydent związany z ICT wpłynął na możliwość przeprowadzenia skutecznej restrukturyzacji i uporządkowanej likwidacji podmiotu lub grupy, a jeśli tak, to w jaki sposób.

Podmioty te wskazują również, czy poważny incydent związany z ICT wpływa na wypłacalność lub płynność podmiotu finansowego, oraz potencjalne ilościowe określenie tego wpływu.

Podmioty te przekazują również informacje na temat wpływu na ciągłość operacyjną, wpływu na możliwość przeprowadzenia skutecznej restrukturyzacji i uporządkowanej likwidacji podmiotu, wszelkich dodatkowych skutków dla kosztów i strat wynikających z poważnego incydentu związanego z ICT, w tym na pozycję kapitałową podmiotu finansowego, oraz na temat tego, czy ustalenia umowne dotyczące korzystania z usług ICT są nadal solidne i w pełni egzekwowalne w przypadku restrukturyzacji i uporządkowanej likwidacji danego podmiotu.

a) kwota wywłaszczonych środków finansowych lub aktywów finansowych, za które podmiot finansowy jest odpowiedzialny;

b) kwota kosztów zastąpienia lub przeniesienia oprogramowania, sprzętu lub infrastruktury;

c) kwota kosztów personelu, w tym kosztów związanych z zastąpieniem lub przeniesieniem personelu, rekrutacją dodatkowych pracowników, wynagrodzeniem za godziny nadliczbowe oraz odzyskaniem utraconych lub ograniczonych umiejętności personelu;

d) kwota opłat z tytułu nieprzestrzegania zobowiązań umownych;

e) kwota kosztów poniesionych w związku z roszczeniami dochodzonymi przez klientów i wypłaconymi im odszkodowaniami;

f) kwota strat wynikających z utraconych dochodów;

g) kwota kosztów związanych z komunikacją wewnętrzną i zewnętrzną;

h) kwota kosztów doradztwa, w tym kosztów związanych z doradztwem prawnym, usługami kryminalistycznymi i usługami z zakresu środków zaradczych.

i) kwota innych kosztów i strat, w tym:

(i) odpisy bezpośrednie, w tym z tytułu utraty wartości

i rozliczeń, ujmowane w ciężar rachunku zysków i strat,

i odpisy aktualizujące wartość wynikłe z poważnego incydentu związanego z ICT;

(ii) rezerwy ujęte w rachunku zysków i strat na prawdopodobne

straty wynikłe z poważnego incydentu związanego z ICT;

(iii) straty oczekujące, w postaci strat wynikłych z poważnego

incydentu związanego z ICT, które tymczasowo księguje się na kontach tymczasowych lub przejściowych i które nie są ujęte w rachunku zysków i strat, a które mają zostać w nim ujęte dla okresu odpowiadającego kwocie i wiekowi pozycji oczekującej;

(iv) istotne niepobrane przychody wynikające ze zobowiązań

umownych wobec osób trzecich, w tym decyzje o wypłaceniu klientowi rekompensaty z tytułu poważnego incydentu związanego z ICT raczej w drodze korekty przychodów poprzez odstąpienie od pobrania opłat umownych lub obniżenie ich wysokości w określonym przyszłym okresie niż w drodze przyznania zwrotu lub dokonania płatności bezpośredniej;

(v) straty czasowe, jeśli obejmują okres dłuższy niż jeden rok

obrachunkowy i są źródłem ryzyka prawnego.

Podmioty finansowe uwzględniają w swojej ocenie art. 7 ust. 1 i 2 rozporządzenia delegowanego (UE) 2024/1772. Podmioty finansowe nie uwzględniają w tej kwocie żadnego rodzaju odzyskanych środków finansowych.

Podmioty finansowe wykazują kwotę pieniężną jako wartość dodatnią

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, podmioty finansowe uwzględniają całkowitą kwotę kosztów i strat we wszystkich podmiotach finansowych.

Podmioty finansowe przedstawiają punkt danych w jednostkach, stosując minimalną dokładność odpowiadającą tysiącom jednostek.

środków finansowych

Odzyskane środki finansowe są związane z pierwotną stratą będącą wynikiem incydentu, niezależnie od momentu ich odzyskania w postaci otrzymania środków finansowych lub wpływu korzyści gospodarczych.

Podmioty finansowe wykazują kwotę pieniężną jako wartość dodatnią.

W przypadku sprawozdawczości zagregowanej, o której mowa w art. 7 niniejszego rozporządzenia, podmioty finansowe uwzględniają całkowitą kwotę odzyskanych środków finansowych we wszystkich podmiotach finansowych.

Podmioty finansowe przedstawiają punkt danych w jednostkach, stosując minimalną dokładność odpowiadającą tysiącom jednostek.

incydenty inne niż poważne powtarzały się

Podmioty finansowe wskazują, czy inne niż poważne incydenty związane z ICT powtarzają się i czy łącznie uznaje się je za jeden poważny incydent związany z ICT.

Podmioty finansowe wskazują również liczbę przypadków wystąpienia takich innych niż poważne incydentów związanych z ICT.

wystąpienia powtarzających się incydentów

oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).

⁽²⁾Dyrektywa Parlamentu Europejskiego i Rady 2014/59/UE z dnia 15 maja 2014 r. ustanawiająca ramy na potrzeby prowadzenia działań naprawczych oraz restrukturyzacji i uporządkowanej likwidacji w odniesieniu do instytucji kredytowych i firm inwestycyjnych oraz

zmieniająca dyrektywę Rady 82/891/EWG i dyrektywy Parlamentu Europejskiego i Rady 2001/24/WE, 2002/47/WE, 2004/25/WE, 2005/56/WE, 2007/36/WE, 2011/35/UE, 2012/30/UE i 2013/36/UE oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1093/2010 i (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 190, ELI: http://data.europa.eu/eli/dir/2014/59/oj).

⁽³⁾Rozporządzenie wykonawcze Komisji (UE) 2018/1624 z dnia 23 października 2018 r. ustanawiające wykonawcze standardy techniczne w odniesieniu do procedur i standardowych formularzy i szablonów stosowanych do przekazywania informacji do celów

sporządzenia planów restrukturyzacji i uporządkowanej likwidacji w odniesieniu do instytucji kredytowych i firm inwestycyjnych zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2014/59/UE oraz uchylające rozporządzenie wykonawcze Komisji (UE) 2016/1066 (Dz.U. L 277 z 7.11.2018, s. 1, ELI: http://data.europa.eu/eli/reg_impl/2018/1624/oj).

podmiotu przedkładającego powiadomienie

identyfikacyjny podmiotu przedkładającego powiadomienie

W przypadku gdy powiadomienie/sprawozdanie przedkładają podmioty finansowe, kodem identyfikacyjnym jest identyfikator podmiotu prawnego (LEI), który jest niepowtarzalnym kodem składającym się z 20 znaków alfanumerycznych, zgodnie z ISO 17442-1:2020.

Dostawca będący osobą trzecią, który przedkłada sprawozdanie w imieniu podmiotu finansowego, może stosować kod identyfikacyjny określony w wykonawczych standardach technicznych przyjętych na podstawie art. 28 ust. 9 rozporządzenia (UE) 2022/2554.

podmiotu finansowego przedkładającego powiadomienie

- instytucja kredytowa;

- instytucja płatnicza;

- zwolniona instytucja płatnicza;

- dostawca świadczący usługę dostępu do

informacji o rachunku;

- instytucja pieniądza elektronicznego;

- zwolniona instytucja pieniądza elektronicznego;

- firma inwestycyjna;

- dostawca usług w zakresie kryptoaktywów;

- emitent tokenów powiązanych

z aktywami;

- centralny depozyt papierów wartościowych;

- kontrahent centralny;

- system obrotu;

- repozytorium transakcji;

- zarządzający alternatywnym funduszem inwestycyjnym;

- spółka zarządzająca;

- dostawca usług w zakresie udostępniania informacji;

- zakład ubezpieczeń i zakład reasekuracji;

- pośrednik ubezpieczeniowy, pośrednik

reasekuracyjny i pośrednik oferujący ubezpieczenia uzupełniające;

- instytucja pracowniczych programów emerytalnych;

- agencja ratingowa;

- administrator kluczowych wskaźników referencyjnych;

- dostawca usług finansowania społecznościowego;

- repozytorium sekurytyzacji.

podmiotu finansowego

podmiotu finansowego

głównej osoby wyznaczonej do kontaktów

głównej osoby wyznaczonej do kontaktów

głównej osoby wyznaczonej do kontaktów

Numer telefonu należy podać ze wszystkimi międzynarodowymi prefiksami (np. +33XXXXXXXXX).

dodatkowej osoby wyznaczonej do kontaktów

Numer telefonu należy podać ze wszystkimi międzynarodowymi prefiksami (np. +33XXXXXXXXX).

Podmioty finansowe przedstawiają:

a) ogólny przegląd najistotniejszych aspektów znaczącego cyberzagrożenia;

b) ryzyko wynikające ze znaczącego cyberzagrożenia, w tym potencjalne podatności systemów podmiotu finansowego, które mogą zostać wykorzystane;

c) informacje o prawdopodobieństwie urzeczywistnienia się znaczącego cyberzagrożenia; oraz

d) informacje dotyczące źródła informacji o cyberzagrożeniu.

i transakcje, których dotyczy incydent;

- skutki reputacyjne;

- czas trwania incydentu i przerwa

w świadczeniu usług;

- zasięg geograficzny;

- utrata danych;

- usługi krytyczne, których dotyczy incydent;

- skutki gospodarcze.

Jeżeli cyberzagrożenie zaprzestało komunikacji z systemami informacyjnymi podmiotu finansowego, status ten można oznaczyć jako nieaktywny. Jeżeli podmiot finansowy posiada informacje, że zagrożenie pozostaje aktywne wobec innych stron lub systemu finansowego jako całości, status ten należy oznaczyć jako aktywny.

- aktywny;

- nieaktywny.

Oznaki naruszenia integralności systemu zgłaszane przez podmiot finansowy mogą obejmować, między innymi, następujące kategorie danych:

a) adresy IP;

b) adresy URL;

c) domeny;

d) hasze plików;

e) dane dotyczące złośliwego oprogramowania (nazwa złośliwego oprogramowania, nazwy plików i ich lokalizacje, konkretne klucze rejestrów związane z działaniem złośliwego oprogramowania);

f) dane dotyczące działania sieci (porty, protokoły, adresy, odesłania, aplikacje klienckie, nagłówki, konkretne rejestry lub odmienne schematy ruchu w sieci);

g) dane dotyczące wiadomości e-mail (nadawca, odbiorca, temat, nagłówek, treść);

h) wnioski DNS i konfiguracje rejestrów;

i) czynności związane z kontem użytkownika (loginy, uprzywilejowana działalność związana z kontem użytkownika, eskalacja uprzywilejowania);

j) ruch w bazach danych (odczyt/zapis), wnioski o dostęp do tego samego pliku.

Tego rodzaju informacje mogą obejmować dane dotyczące wskaźników opisujących schematy ruchu w sieci odpowiadające znanym atakom/znanej komunikacji w sieci urządzeń zainfekowanych złośliwym oprogramowaniem, adresy IP urządzeń zainfekowanych złośliwym oprogramowaniem (boty), dane dotyczące serwerów "dowodzenia i kontroli" wykorzystywanych przez złośliwe oprogramowanie (zazwyczaj domeny lub adresy IP) oraz adresy URL dotyczące stron typu phishing lub obserwowanych stron internetowych, na których znajdują się złośliwe oprogramowanie lub narzędzia typu exploit kit.