Source: OJ L, 2025/301, 20.2.2025Current language: DE
- Digital operational resilience in the financial sector
ICT-related incidents
- RTS on incident reporting
Artikel 6 Inhalt der freiwilligen Meldung erheblicher Cyberbedrohungen
Summary What does Article 6 of the RTS on incident reporting say?
This article sets out what financial entities must include when making a voluntary notification about a significant cyber threat — that is, a cyber threat that could potentially result in a major ICT-related incident, even if it has not yet materialised.
It complements the mandatory incident reporting framework established in earlier articles by addressing this distinct, pre-incident scenario.
The content requirements cover the nature and status of the threat, its potential impact, the classification criteria that would have applied had it escalated into a real incident, and any actions taken or notifications made to other parties.
Important points:
- Include the classification criteria from Delegated Regulation (EU) 2024/1772 that would have triggered a major incident report, treating the voluntary notification as a hypothetical major incident assessment.
- Provide details on the potential impact of the significant cyber threat on your financial entity, its clients, and financial counterparts.
- Notify whether the significant cyber threat has been reported to other financial entities or authorities, ensuring transparency across the broader reporting landscape.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Eine freiwillige Meldung in Bezug auf erhebliche Cyberbedrohungen gemäß Artikel 19 Absatz 2 der Verordnung (EU) 2022/2554 umfasst Folgendes:
allgemeine Angaben zu dem meldenden Finanzunternehmen gemäß Artikel 1,
Datum und Uhrzeit der Erkennung einer erheblichen Cyberbedrohung und sonstige relevante Zeitstempel im Zusammenhang mit der erheblichen Cyberbedrohung,
Beschreibung der erheblichen Cyberbedrohung,
Angaben zu den möglichen Auswirkungen der erheblichen Cyberbedrohung auf das Finanzunternehmen, seine Kunden oder Gegenparteien im Finanzbereich,
Einstufungskriterien, die die Meldung eines schwerwiegenden Vorfalls gemäß den Artikeln 1 bis 8 der Delegierten Verordnung (EU) 2024/1772 ausgelöst hätten, wenn die Cyberbedrohung eingetreten wäre,
Angaben zum Status der erheblichen Cyberbedrohung und dazu, ob sich die Bedrohungsaktivität verändert hat,
gegebenenfalls Beschreibung der Maßnahmen, die das Finanzunternehmen ergriffen hat, um das Eintreten erheblicher Cyberbedrohungen zu verhindern,
Angabe dazu, ob andere Finanzunternehmen oder Behörden über die erhebliche Cyberbedrohung benachrichtigt wurden,
gegebenenfalls Angaben zu Kompromittierungsindikatoren,
soweit verfügbar, sonstige zweckdienliche Informationen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
erhebliche Cyberbedrohung
(En. significant cyber threat)
Definition
Cyberbedrohung
(En. cyber threat)