Source: OJ L, 2024/1772, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT-related incidents
- RTS on incident classification
Artikel 5 Verluste von Daten
Summary What does Article 5 of the RTS on incident classification say?
This article directly supports the broader incident classification framework established in Article 18(1) of DORA by defining how financial entities should assess the data loss dimension of an incident.
Rather than treating data loss as a single concept, the article breaks it down into four distinct properties of data that must each be considered when evaluating whether an incident has caused harm to data.
Important points:
- Assess data loss across four properties: availability, authenticity, integrity, and confidentiality.
- This assessment feeds into the incident classification criteria under Article 18(1) of DORA, making it a key input for determining whether reporting obligations are triggered.
- The scope covers data belonging to or demanded by the financial entity, its clients, and its counterparts.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Um die in Artikel 18 Absatz 1 Buchstabe d der Verordnung (EU) 2022/2554 genannten Verluste von Daten, die durch den Vorfall verursacht werden, zu bestimmen, berücksichtigen die Finanzunternehmen Folgendes:
in Bezug auf die Verfügbarkeit von Daten, ob der Vorfall die vom Finanzunternehmen, seinen Kunden oder seinen Gegenparteien nachgefragten Daten vorübergehend oder dauerhaft unzugänglich oder unbrauchbar gemacht hat;
in Bezug auf die Authentizität der Daten, ob der Vorfall die Vertrauenswürdigkeit der Datenquelle kompromittiert hat;
in Bezug auf die Integrität der Daten, ob der Vorfall zu einer nicht autorisierten Veränderung der Daten geführt hat, wodurch diese unrichtig oder unvollständig geworden sind;
in Bezug auf die Vertraulichkeit der Daten, ob der Vorfall dazu geführt hat, dass eine unbefugte Partei oder ein unbefugtes System Zugang zu oder Kenntnis von den Daten erhalten hat.
Relevant recitals
Erwägungsgrund 5 Cyber attacks
Die Klassifizierungskriterien sollten sicherstellen, dass alle relevanten Arten von schwerwiegenden Vorfällen erfasst werden. Cyberangriffe, die mit dem Eindringen in Netzwerk- oder Informationssysteme zusammenhängen, werden von vielen Klassifizierungskriterien möglicherweise nicht unbedingt erfasst. Jedoch sind sie bedeutsam, da jedes Eindringen in Netzwerk- und Informationssysteme dem Finanzunternehmen schaden kann. Dementsprechend sollten die Klassifizierungskriterien „betroffene kritische Dienstleistungen“ und „Verluste von Daten“ so festgelegt werden, dass diese Arten von schwerwiegenden Vorfällen erfasst werden, insbesondere auch unbefugtes Eindringen, das, auch wenn die Auswirkungen nicht unmittelbar bekannt sind, gravierende Folgen haben kann, vor allem Datenschutzverletzungen und Datenlecks.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Cyberangriff
(En. cyber-attack)
Definition
Netzwerk- und Informationssystem
(En. network and information system)