Source: OJ L, 2024/1772, 25.6.2024

Current language: DE

Artikel 2 Reputationsschaden

Summary What does Article 2 of the RTS on incident classification say?

This article defines how financial entities should determine whether an ICT incident has caused a reputational impact, which is one of the criteria used under Article 18(1) of DORA to classify and assess incidents.

It sets out a list of qualifying conditions — any one of which is sufficient to confirm that reputational harm has occurred — and adds a layer of nuance by requiring entities to factor in the level of visibility the incident has gained or is likely to gain.

Important points:

  • Assess whether at least one reputational impact criterion has been met — media coverage, repetitive client complaints, inability to meet regulatory requirements, or likely loss of clients or financial counterparts with material business impact.
  • Consider the visibility of the incident, both actual and potential, when making your reputational impact assessment.
  • This article feeds directly into the broader incident classification framework under Article 9, where reputational impact is one of the materiality thresholds that can trigger major incident status.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Zur Bestimmung des in Artikel 18 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 genannten Reputationsschadens betrachten die Finanzunternehmen einen Reputationsschaden als eingetreten, wenn mindestens eines der folgenden Kriterien erfüllt ist:

      1. über den Vorfall wurde in den Medien berichtet;

      2. der Vorfall hat zu wiederholten Beschwerden verschiedener Kunden oder finanzieller Gegenparteien über kundenorientierte Dienstleistungen oder kritische Geschäftsbeziehungen geführt;

      3. das Finanzunternehmen wird aufgrund des Vorfalls nicht oder wahrscheinlich nicht in der Lage sein, regulatorische Anforderungen zu erfüllen;

      4. das Finanzunternehmen wird infolge des Vorfalls Kunden oder finanzielle Gegenparteien verlieren oder wahrscheinlich verlieren, was wesentliche Auswirkungen auf seine Geschäftstätigkeit haben wird.

    1. Bei der Bewertung der Reputationswirkung des Vorfalls berücksichtigen die Finanzunternehmen die Sichtbarkeit, die der Vorfall in Bezug auf jedes in Absatz 1 aufgeführte Kriterium erlangt hat oder wahrscheinlich erlangen wird.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod