Art. 10 Hohe Wesentlichkeitsschwellen für die Bestimmung erheblicher Cyberbedrohungen | RTS on incident classification | DORA

This article defines the conditions under which a cyber threat is considered "significant," which is the trigger for voluntary notification obligations under Article 18(2) of DORA.

It builds directly on the materiality thresholds established in Articles 6 and 9 of this Regulation, effectively linking the threat notification framework to the same benchmarks used for classifying actual major incidents.

All three conditions must be met simultaneously: the threat must have the potential to impact critical functions or other parties, it must carry a high probability of materialising, and it must be capable of meeting certain materiality thresholds if it were to materialise.

Important points:

Assess whether a cyber threat meets all three cumulative conditions before classifying it as significant and triggering notification obligations.
The probability of materialisation must be evaluated using available information on system vulnerabilities, threat actor capabilities and intent, and the persistence of the threat.
The materiality thresholds relating to reputational impact, duration, data losses, and economic impact may also be considered, but are not mandatory elements of the assessment.

Für die Zwecke von Artikel 18 Absatz 2 der Verordnung (EU) 2022/2554 wird eine Cyberbedrohung als erheblich angesehen, wenn alle folgenden Bedingungen erfüllt sind:
1. Die Cyberbedrohung könnte nach den verfügbaren Informationen des Finanzunternehmens bei Eintritt kritische oder wichtige Funktionen des Finanzunternehmens beeinträchtigen oder beeinträchtigt haben oder könnte andere Finanzunternehmen, Drittdienstleister, Kunden oder finanzielle Gegenparteien beeinträchtigen.
2. Die Cyberbedrohung hat eine hohe Eintrittswahrscheinlichkeit bei dem Finanzunternehmen oder bei anderen Finanzunternehmen, wenn mindestens die folgenden Elemente berücksichtigt werden:
  die mit der unter Buchstabe a genannten Cyberbedrohung zusammenhängenden einschlägigen Risiken, insbesondere auch potenzielle Schwachstellen der Systeme des Finanzunternehmens, die ausgenutzt werden können;
  die Fähigkeiten und Absichten der Angreifer, soweit dem Finanzunternehmen bekannt;
  das Anhalten der Bedrohung und etwaige Kenntnisse über bisherige Vorfälle, die sich auf das Finanzunternehmen oder dessen Drittdienstleister, Kunden oder finanzielle Gegenparteien ausgewirkt haben.
3. Die Cyberbedrohung könnte bei Eintritt das folgende Kriterium oder einen der folgenden Schwellenwerte erfüllen:
  das in Artikel 18 Absatz 1 Buchstabe e der Verordnung (EU) 2022/2554 genannte Kriterium der Kritikalität der Dienste, wie in Artikel 6 der vorliegenden Verordnung ausgeführt;
  die in Artikel 9 Absatz 1 ausgeführte Wesentlichkeitsschwelle;
  die in Artikel 9 Absatz 4 ausgeführte Wesentlichkeitsschwelle.
Kommt das Finanzunternehmen je nach Art der Cyberbedrohung und den verfügbaren Informationen zu dem Schluss, dass die in Artikel 9 Absätze 2, 3, 5 und 6 genannten Wesentlichkeitsschwellen erreicht werden könnten, so können diese Schwellenwerte ebenfalls berücksichtigt werden.