Art. 22 Rückmeldungen von Aufsichtsbehörden | DORA regulation | DORA

This article sits within the incident reporting framework established by Article 19, and deals with what happens after financial entities submit their incident reports.

It covers two distinct layers of response: first, how competent authorities should engage with financial entities following receipt of incident notifications; and second, how the ESAs should use aggregated incident data to produce broader sector-wide intelligence.

Crucially, the article makes clear that any feedback or guidance from competent authorities does not shift responsibility away from the financial entity itself.

Important points:

Competent authorities are required to acknowledge receipt of incident reports submitted under Article 19(4) and may provide feedback, anonymised threat intelligence, or guidance on remediation — but financial entities retain full responsibility for handling ICT-related incidents regardless.
The ESAs are required to publish a yearly report through the Joint Committee covering major ICT-related incidents on an anonymised and aggregated basis, including their nature, operational impact, remedial actions taken, and costs incurred.
The ESAs must also issue warnings and produce high-level statistics to support ICT threat and vulnerability assessments across the financial sector.

1. Unbeschadet der technischen Informationen, Empfehlungen oder Abhilfe- und Folgemaßnahmen, die im Einklang mit dem nationalen Recht gegebenenfalls vom CSIRT gemäß Richtlinie (EU) 2022/2555 bereitgestellt werden können, bestätigt die zuständige Behörde nach Eingang der Erstmeldung und jeder Meldung nach Artikel 19 Absatz 4 den Eingang und kann, wenn möglich, dem Finanzunternehmen zeitnah sachdienliche und angemessene Rückmeldungen oder allgemein gehaltene Orientierungshilfen übermitteln, insbesondere durch Zurverfügungstellung relevanter anonymisierter Informationen und Erkenntnisse zu ähnlichen Bedrohungen, sowie auf Ebene des Unternehmens angewandte Abhilfemaßnahmen und Möglichkeiten zur Minimierung und Minderung nachteiliger Auswirkungen auf den gesamten Finanzsektor erörtern. Unbeschadet der aufsichtlichen Rückmeldung bleiben Finanzunternehmen in vollem Umfang für die Handhabung und die Folgen der gemäß Artikel 19 Absatz 1 gemeldeten IKT-bezogenen Vorfälle verantwortlich.
1. Die ESA berichten jährlich über den Gemeinsamen Ausschuss in anonymisierter und aggregierter Form über schwerwiegende IKT-bezogene Vorfälle, deren Einzelheiten von den zuständigen Behörden gemäß Artikel 19 Absatz 6 übermittelt werden, und geben dabei mindestens die Zahl schwerwiegender IKT-bezogener Vorfälle, ihre Art und ihre Auswirkungen auf die Geschäftstätigkeit von Finanzunternehmen oder Kunden sowie die ergriffenen Abhilfemaßnahmen und die Kosten an.
2. Die ESA geben Warnungen heraus und erstellen allgemein gehaltene Statistiken, um die Bewertungen von Bedrohungen und Schwachstellen im IKT-Bereich zu unterstützen.