4. člen
(poročanje o IKT incidentih in kibernetskih grožnjah)
(1)
V skladu s prvim in četrtim odstavkom 19. člena Uredbe 2022/2554/EU finančni subjekti, določeni v prvi, drugi in tretji alineji prvega odstavka prejšnjega člena, o večjih incidentih, povezanih z IKT, poročajo pristojnim organom iz prvega odstavka prejšnjega člena in skupinam za odzivanje na incidente s področja računalniške varnosti (v nadaljnjem besedilu: CSIRT).
(2)
V primeru večjega incidenta, povezanega z IKT, ki bi lahko povzročil večje motnje in škodo, finančni subjekti, določeni v prvi, drugi in tretji alineji prvega odstavka prejšnjega člena, postopajo v skladu s tretjim odstavkom 19. člena Uredbe 2022/2554/EU.
(3)
Poleg obvezne priglasitve večjega incidenta, povezanega z IKT, lahko finančni subjekti pristojne organe iz prvega odstavka prejšnjega člena in CSIRT prostovoljno obvestijo tudi o pomembnih kibernetskih grožnjah, če menijo, da je grožnja relevantna za finančni sistem, uporabnike storitev ali stranke, in jim predložijo ustrezne informacije.
(4)
Pristojni organi iz prvega odstavka prejšnjega člena o večjih incidentih, povezanih z IKT, s katerimi so bili seznanjeni na podlagi prvega, drugega ali tretjega odstavka tega člena, tedensko poročajo URSIV.
(5)
Ne glede na rok iz prejšnjega odstavka pristojni organi iz prvega odstavka prejšnjega člena brez nepotrebnega odlašanja, v vsakem primeru pa v 24 urah od priglasitve, obvestijo URSIV o zaznavi takšnega incidenta v primeru, da je incident iz prvega odstavka tega člena finančnemu subjektu: