Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 18 Classification des incidents liés aux TIC et des cybermenaces

Summary What does Article 18 of the DORA regulation say?

This article establishes the classification framework that financial entities must use when assessing ICT-related incidents and cyber threats.

It feeds directly into the reporting obligations set out in Article 19, as the severity classifications determined here dictate what must be reported to competent authorities.

The article sets out concrete criteria for judging the impact of an incident — such as how many clients are affected, how long the disruption lasts, whether multiple Member States are involved, and what economic damage results.

Separately, it requires financial entities to classify cyber threats as significant using a comparable but distinct set of criteria.

The ESAs are then tasked with developing regulatory technical standards to sharpen these classifications further, including by setting materiality thresholds.

Important points:

  • Classify ICT-related incidents using six defined criteria covering client impact, duration, geographical spread, data loss, service criticality, and economic damage.
  • Classify cyber threats as significant based on the criticality of services at risk, clients or counterparts targeted, and geographical spread.
  • The ESAs are required to develop regulatory technical standards to further specify the classification criteria and materiality thresholds, including consideration of the resource constraints of microenterprises and SMEs.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Les entités financières classent les incidents liés aux TIC et déterminent leur incidence sur la base des critères suivants:

      1. le nombre et/ou l’importance des clients ou des contreparties financières touchés et, le cas échéant, le volume ou le nombre de transactions touchées par l’incident lié aux TIC, et si cet incident a porté atteinte à la réputation;

      2. la durée de l’incident lié aux TIC, y compris les interruptions de service;

      3. la répartition géographique en ce qui concerne les zones touchées par l’incident lié aux TIC, en particulier si celui-ci touche plus de deux États membres;

      4. les pertes de données occasionnées par l’incident lié aux TIC en ce qui concerne la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données;

      5. la criticité des services touchés, y compris les transactions et les opérations de l’entité financière;

      6. les conséquences économiques, en particulier les coûts et pertes directs et indirects, en termes absolus et relatifs, de l’incident lié aux TIC.

    1. Les entités financières classent les cybermenaces comme significatives en fonction de la criticité des services à risque, y compris des transactions et des opérations de l’entité financière, du nombre et/ou de l’importance des clients ou des contreparties financières ciblés et de la répartition géographique des zones à risque.

    1. Les AES élaborent, par l’intermédiaire du comité mixte et en concertation avec la BCE et l’ENISA, des projets communs de normes techniques de réglementation qui précisent les éléments suivants:

      1. les critères énoncés au paragraphe 1, y compris les seuils d’importance significative pour déterminer les incidents majeurs liés aux TIC ou, le cas échéant, les incidents opérationnels ou de sécurité majeurs liés au paiement, qui sont soumis à l’obligation de déclaration prévue à l’article 19, paragraphe 1;

      2. les critères que les autorités compétentes doivent appliquer pour évaluer si des incidents majeurs liés aux TIC ou, le cas échéant, des incidents opérationnels ou de sécurité majeurs liés au paiement, sont pertinents pour les autorités compétentes concernées des autres États membres, et les détails des rapports d’incidents majeurs liés aux TIC ou, le cas échéant, d’incidents opérationnels ou de sécurité majeurs liés au paiement, à partager avec les autres autorités compétentes conformément à l’article 19, paragraphes 6 et 7;

      3. les critères énoncés au paragraphe 2 du présent article, y compris les seuils d’importance significative élevés pour déterminer les cybermenaces importantes.

    1. Lors de l’élaboration des projets communs de normes techniques de réglementation visés au paragraphe 3 du présent article, les AES tiennent compte des critères énoncés à l’article 4, paragraphe 2, ainsi que des normes, orientations et spécifications internationales élaborées et publiées par l’ENISA, y compris, le cas échéant, des spécifications relatives à d’autres secteurs économiques. Aux fins de l’application des critères énoncés à l’article 4, paragraphe 2, les AES tiennent dûment compte de la nécessité pour les microentreprises et les petites et moyennes entreprises de mobiliser des ressources et des capacités suffisantes pour garantir une gestion rapide des incidents liés aux TIC.

    2. Les AES soumettent ces projets communs de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.

    3. Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au paragraphe 3 est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod