Art. 7 Wirtschaftliche Auswirkungen | RTS on incident classification | DORA

This article defines how financial entities must calculate the economic impact of an ICT incident, feeding directly into the broader incident classification criteria set out in Article 18(1) of DORA.

It draws a clear boundary between what counts as incident-related costs and what does not, ensuring that only genuine losses stemming from the incident are factored into the assessment.

Notably, calculations are made without accounting for any financial recoveries, meaning the gross impact is what matters here.

Important points:

Calculate economic impact by summing all direct and indirect costs and losses from the incident — covering everything from stolen assets and staff costs to advisory fees and forgone revenues.
Exclude routine business costs such as general maintenance, post-incident upgrades, and insurance premiums from the calculation.
Where actual costs cannot be determined, estimate the amounts based on data available at the time of reporting.

1. Zur Bestimmung der in Artikel 18 Absatz 1 Buchstabe f der Verordnung (EU) 2022/2554 genannten wirtschaftlichen Auswirkungen des Vorfalls berücksichtigen die Finanzunternehmen, ohne Einrechnung von finanziellen Wiedereinziehungen, die folgenden Arten von direkten und indirekten Kosten und Verlusten, die ihnen infolge des Vorfalls entstanden sind:
  1. enteignete Mittel oder finanzielle Vermögenswerte, für die sie haften, einschließlich gestohlener Vermögenswerte;
  2. Kosten für die Ersetzung oder Verlegung von Software, Hardware oder Infrastruktur;
  3. Personalkosten, einschließlich Kosten im Zusammenhang mit der Ersetzung oder Verlegung von Personal, der Einstellung zusätzlichen Personals, der Vergütung von Überstunden und der Wiederherstellung verloren gegangener oder beeinträchtigter Kompetenzen;
  4. Gebühren wegen Nichteinhaltung vertraglicher Verpflichtungen;
  5. Kosten für Ausgleichs- und Entschädigungszahlungen an Kunden;
  6. Verluste wegen entgangener Einnahmen;
  7. Kosten für die interne und externe Kommunikation;
  8. Beratungskosten, einschließlich Kosten für Rechtsberatung, forensische Dienstleistungen und Behebungsdienstleistungen.
1. Die in Absatz 1 genannten Kosten und Verluste schließen keine Kosten ein, die für den alltäglichen Geschäftsbetrieb notwendig sind, insbesondere
  1. keine Kosten für die allgemeine Instandhaltung von Infrastruktur, Ausrüstung, Hardware und Software und keine Kosten für die laufende Fortbildung des Personals, um dessen Kompetenzen auf Stand zu halten;
  2. keine internen oder externen Kosten für die Verstärkung des Geschäftsbetriebs nach dem Vorfall, insbesondere auch keine Kosten für Upgrades, Verbesserungen und Initiativen zur Risikobewertung;
  3. keine Versicherungsprämien.
1. Die Finanzunternehmen berechnen die Höhe der Kosten und Verluste auf der Grundlage der zum Meldezeitpunkt verfügbaren Daten. Kann die tatsächliche Höhe der Kosten und Verluste nicht bestimmt werden, so schätzen die Finanzunternehmen die entsprechenden Beträge.
1. Bei der Bewertung der wirtschaftlichen Auswirkungen des Vorfalls summieren die Finanzunternehmen die in Absatz 1 genannten Kosten und Verluste.