Art. 7 Aggregierte Meldung | ITS on templates for incident reporting | DORA

This article sets out the conditions under which a third-party service provider, having taken on outsourced reporting obligations under Article 6, may submit a single aggregated incident report on behalf of multiple financial entities.

It establishes a narrow permission for consolidated reporting, while carving out specific categories of financial entities that are explicitly excluded from this arrangement and must always report individually.

Important points:

Third-party service providers may submit one aggregated report for multiple financial entities only when five cumulative conditions are met, including that the incident originates from the third-party provider, all affected entities are in the same Member State under the same competent authority, and aggregated reporting has been explicitly permitted by that competent authority.
Significant credit institutions, operators of trading venues, and central counterparties are excluded from aggregated reporting and must always submit individual notifications to their competent authority.
Competent authorities retain the right to request an individual report from a financial entity at any time, even where an aggregated report has already been submitted on its behalf.

1. Ein Drittdienstleister, an den Meldepflichten gemäß Artikel 19 Absatz 5 der Verordnung (EU) 2022/2554 ausgelagert wurden, kann die Vorlage in Anhang I dieser Verordnung verwenden, um aggregierte Informationen über einen schwerwiegenden IKT-bezogenen Vorfall, der sich auf mehrere Finanzunternehmen auswirkt, in einer einzigen Meldung bereitzustellen und diese Meldung im Namen aller betroffenen Finanzunternehmen der zuständigen Behörde zu übermitteln, sofern alle folgenden Voraussetzungen erfüllt sind:
  1. Der zu meldende schwerwiegende IKT-bezogene Vorfall hat bei einem IKT- Drittdienstleister seinen Ursprung oder wird von diesem verursacht.
  2. Dieser Drittdienstleister erbringt die betreffende IKT-Dienstleistung für mehr als ein Finanzunternehmen oder für eine Gruppe.
  3. Der IKT-bezogene Vorfall wird von jedem in der aggregierten Meldung erfassten Finanzunternehmen als schwerwiegend eingestuft.
  4. Der schwerwiegende IKT-bezogene Vorfall betrifft Finanzunternehmen im selben Mitgliedstaat und die aggregierte Meldung bezieht sich auf Finanzunternehmen, die von derselben zuständigen Behörde beaufsichtigt werden.
  5. Die zuständigen Behörden haben dieser Art von Finanzunternehmen ausdrücklich gestattet, aggregierte Meldungen zu übermitteln.
1. Absatz 1 gilt nicht für Kreditinstitute, die gemäß Artikel 2 Nummer 16 der Verordnung (EU) Nr. 468/2014 der Europäischen Zentralbank(⁸) als von erheblicher Bedeutung angesehen werden, Betreiber von Handelsplätzen und zentrale Gegenparteien, die nur die Vorlage in Anhang I verwenden, um Meldungen schwerwiegender IKT-bezogener Vorfälle einzeln an ihre zuständige Behörde zu übermitteln.
1. Verlangen die zuständigen Behörden Informationen über die individuellen Auswirkungen des schwerwiegenden IKT-bezogenen Vorfalls auf ein einzelnes Finanzunternehmen, so übermittelt das Finanzunternehmen auf Ersuchen der zuständigen Behörde eine Einzelmeldung über den schwerwiegenden IKT-bezogenen Vorfall.