Source: OJ L, 2025/301, 20.2.2025

Current language: DE

Artikel 2 Spezifische Informationen, die in Erstmeldungen enthalten sein müssen

Summary What does Article 2 of the RTS on incident reporting say?

This article specifies the minimum content requirements for the initial notification that financial entities must submit when a major ICT-related incident occurs.

It builds directly on the general information requirements established in Article 1, adding the incident-specific detail that competent authorities need at the earliest stage of reporting.

The article covers the essential facts of the incident — what happened, when it was detected, why it was classified as major, where it has impact, and how it was discovered — while also touching on response actions already taken.

Important points:

  • Include the classification criteria from Delegated Regulation (EU) 2024/1772 that justify designating the incident as major — this is a mandatory element of the initial notification.
  • State whether a business continuity plan has been activated, as this is a required disclosure from the outset.
  • Where applicable, report any reclassification of the incident from major to non-major as part of this initial notification.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Erstmeldungen gemäß Artikel 19 Absatz 4 Buchstabe a der Verordnung (EU) 2022/2554 enthalten mindestens alle nachfolgend genannten spezifischen Informationen:

  1. vom Finanzunternehmen zugewiesener Referenzcode des Vorfalls,

  2. Datum und Uhrzeit der Erkennung des Vorfalls sowie dessen Einstufung gemäß Artikel 8 der Delegierten Verordnung (EU) 2024/1772 der Kommission(7),

  3. Beschreibung des IKT-bezogenen Vorfalls,

  4. in den Artikeln 1 bis 8 der Delegierten Verordnung (EU) 2024/1772 festgelegte Kriterien, auf deren Grundlage das Finanzunternehmen den IKT-bezogenen Vorfall als schwerwiegend eingestuft hat,

  5. Mitgliedstaaten, die von dem IKT-bezogenen Vorfall betroffen sind,

  6. Angaben dazu, wie der IKT-bezogene Vorfall erkannt wurde,

  7. soweit verfügbar, Angaben zum Ursprung des IKT-bezogenen Vorfalls,

  8. Angaben dazu, ob das Finanzunternehmen einen Geschäftsfortführungsplan aktiviert hat,

  9. gegebenenfalls Angaben zur Neueinstufung des schwerwiegenden IKT-bezogenen Vorfalls als nicht schwerwiegend,

  10. soweit verfügbar, sonstige zweckdienliche Informationen.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod