Source: OJ L, 2024/1772, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT-related incidents
- RTS on incident classification
Artikel 8 Schwerwiegende Vorfälle
Summary What does Article 8 of the RTS on incident classification say?
This is a pivotal classification article that defines exactly when an incident crosses the threshold to become a "major incident" triggering the reporting obligations under Article 19(1) of DORA.
It draws directly on the criteria and materiality thresholds established in Articles 6 and 9, acting as the decision-making gateway that ties those detailed criteria together.
Notably, the article also addresses a more nuanced scenario: repeated smaller incidents that do not individually qualify as major can be aggregated and treated as a single major incident if certain conditions are met, closing a potential loophole.
Important points:
- Ensure you classify an incident as major where it affects critical services and either meets the specific data-loss/unauthorised-access threshold or meets two or more of the other materiality thresholds from Article 9.
- Assess recurring incidents on a monthly basis, as incidents sharing the same root cause and occurring at least twice within 6 months may collectively constitute one major incident.
- The recurring incidents aggregation rule does not apply to microenterprises or financial entities listed in Article 16(1) of Regulation (EU) 2022/2554.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Ein Vorfall wird für die Zwecke von Artikel 19 Absatz 1 der Verordnung (EU) 2022/2554 als schwerwiegender Vorfall angesehen, wenn die in Artikel 6 genannten kritischen Dienste beeinträchtigt und eine der folgenden beiden Bedingungen erfüllt ist:
Die in Artikel 9 Absatz 5 Buchstabe b genannte Wesentlichkeitsschwelle ist erreicht;
zwei oder mehr der in Artikel 9 Absätze 1 bis 6 genannten anderen Wesentlichkeitsschwellen sind erreicht.
Wiederholte Vorfälle, die nach Absatz 1 einzeln betrachtet keine schwerwiegenden Vorfälle sind, werden zusammengenommen als schwerwiegender Vorfall betrachtet, wenn sie alle folgenden Bedingungen erfüllen:
Sie sind innerhalb von sechs Monaten mindestens zwei Mal aufgetreten;
sie haben dieselbe offensichtliche Ursache im Sinne von Artikel 20 Absatz 1 Buchstabe b der Verordnung (EU) 2022/2554;
sie erfüllen zusammengenommen die in Absatz 1 festgelegten Kriterien für die Betrachtung als schwerwiegender Vorfall.
Die Finanzunternehmen bewerten das Vorliegen wiederholter Vorfälle monatlich.
Dieser Absatz gilt nicht für Kleinstunternehmen und die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Handelsplatz
(En. trading venue)
Definition
zentrale Gegenpartei
(En. central counterparty)
Definition
Kleinstunternehmen
(En. microenterprise)
Definition
Transaktionsregister
(En. trade repository)
Definition
Zentralverwahrer
(En. central securities depository)