Art. 5 Fristen für die Erst-, Zwischen- und Abschlussmeldung | RTS on incident reporting | DORA

This article establishes the strict deadlines by which financial entities must submit each stage of their major ICT incident reporting, directly supporting the three-part reporting structure set out in Articles 2, 3, and 4.

It works through the timeline from initial notification through to the final report, and also addresses edge cases such as late classification of an incident as major, inability to meet deadlines, and whether weekend or bank holiday extensions apply.

Important points:

Submit your initial notification within four hours of classifying an incident as major, and no later than 24 hours from first becoming aware of it.
The weekend and bank holiday deadline extension is not available to credit institutions, central counterparties, operators of trading venues, or entities classified as essential or important under Directive (EU) 2022/2555.
Competent authorities may remove the weekend and bank holiday extension for other financial entities they consider significant or systemic at national or Union level, but only for incidents reported after they have formally notified those entities of this decision.

1. Finanzunternehmen übermitteln die Erst-, Zwischen- und Abschlussmeldung gemäß Artikel 19 Absatz 4 Buchstaben a, b und c der Verordnung (EU) 2022/2554 innerhalb der folgenden Fristen:
  1. bei der Erstmeldung: so früh wie möglich, in jedem Fall aber innerhalb von vier Stunden nach Einstufung des IKT-bezogenen Vorfalls als schwerwiegend und spätestens 24 Stunden nach dem Zeitpunkt, zu dem das Finanzunternehmen Kenntnis von dem IKT-bezogenen Vorfall erlangt hat,
  2. bei der Zwischenmeldung: spätestens 72 Stunden nach Übermittlung der Erstmeldung, auch wenn sich gemäß Artikel 19 Absatz 4 Buchstabe b der Verordnung (EU) 2022/2554 der Status oder die Handhabung des Vorfalls nicht geändert hat. Die Finanzunternehmen übermitteln unverzüglich etwaige aktualisierte Zwischenmeldungen, in jedem Fall aber, sobald der reguläre Geschäftsbetrieb wiederaufgenommen wurde,
  3. bei der Abschlussmeldung: spätestens einen Monat nach Übermittlung der Zwischenmeldung oder gegebenenfalls nach der letzten aktualisierten Zwischenmeldung.
1. Hat das Finanzunternehmen einen IKT-bezogenen Vorfall nicht innerhalb von 24 Stunden nach dem Zeitpunkt, zu dem es Kenntnis von dem IKT-bezogenen Vorfall erlangt hat, sondern erst zu einem späteren Zeitpunkt als schwerwiegend eingestuft, übermittelt es die Erstmeldung innerhalb von vier Stunden, nachdem es den IKT-bezogenen Vorfall als schwerwiegend eingestuft hat.
1. Finanzunternehmen, die nicht in der Lage sind, die Erstmeldung, die Zwischenmeldung oder die Abschlussmeldung innerhalb der in Absatz 1 genannten Fristen zu übermitteln, teilen dies der zuständigen Behörde unverzüglich, spätestens jedoch innerhalb der jeweiligen Fristen für die Übermittlung der Meldung mit und geben die Gründe für die Verzögerung an.
1. Fällt die Frist für die Übermittlung der Erstmeldung, der Zwischenmeldung oder der Abschlussmeldung auf ein Wochenende oder einen Feiertag im Mitgliedstaat des meldenden Finanzunternehmens, so kann das Finanzunternehmen die Erstmeldung, die Zwischenmeldung oder die Abschlussmeldung bis 12.00 Uhr des darauffolgenden Arbeitstages übermitteln.
1. Absatz 4 gilt nicht für die Übermittlung einer Erstmeldung oder einer Zwischenmeldung durch Kreditinstitute, zentrale Gegenparteien, Betreiber von Handelsplätzen und andere Finanzunternehmen, die gemäß Artikel 3 der Richtlinie (EU) 2022/2555 als wesentliche oder wichtige Einrichtungen eingestuft sind.
1. Die zuständigen Behörden können beschließen, dass Absatz 4 nicht für die Übermittlung einer Erstmeldung oder einer Zwischenmeldung durch andere Finanzinstitute als die in Absatz 5 genannten gilt, die bedeutend oder für den Finanzsektor auf nationaler oder Unionsebene systemrelevant sind. Die zuständigen Behörden teilen den betreffenden Finanzunternehmen ihren Beschluss mit. Der Beschluss der zuständigen Behörde gilt nur für Vorfälle, die sich ereignet haben, nachdem die zuständige Behörde den betreffenden Finanzunternehmen ihre Entscheidung mitgeteilt hat.