Article 19 Déclaration des incidents majeurs liés aux TIC et notification volontaire des cybermenaces importantes

Summary What does Article 19 of the DORA regulation say?

This article is the core incident reporting article in DORA, establishing the mandatory obligation for financial entities to report major ICT-related incidents to their relevant competent authority.

It builds directly on Article 18, which sets out how incidents are classified, and connects to Article 20, which defines the templates and timelines used for the actual reports.

The article structures reporting as a staged process — an initial notification, intermediate updates, and a final report — and also addresses the voluntary notification of significant cyber threats.

Beyond the obligations on financial entities, the article maps out a detailed information-sharing chain that flows upward from competent authorities to the ESAs, the ECB, resolution authorities, and CSIRTs, ensuring that major incidents can be assessed for cross-border impact across the EU financial system.

Important points:

Report major ICT-related incidents to your relevant competent authority using a staged reporting process: an initial notification, intermediate updates, and a final report once root cause analysis is complete.
You may outsource the reporting obligation to a third-party service provider, but responsibility for fulfilling the requirements remains entirely with the financial entity.
Competent authorities are required to cascade incident details to a broad network of bodies, including the ESAs, the ECB, resolution authorities, and CSIRTs, to enable assessment of cross-border impact and coordinated response.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les entités financières déclarent à l’autorité compétente pertinente visée à l’article 46 les incidents majeurs liés aux TIC, conformément au paragraphe 4 du présent article.
2. Lorsqu’une entité financière est soumise à la surveillance de plusieurs autorités nationales compétentes visées à l’article 46, les États membres désignent une seule autorité compétente en tant qu’autorité compétente concernée chargée d’exercer les fonctions et missions prévues au présent article.
3. Les établissements de crédit classés comme importants, conformément à l’article 6, paragraphe 4, du règlement (UE) n^o 1024/2013, déclarent les incidents majeurs liés aux TIC à l’autorité nationale compétente concernée désignée conformément à l’article 4 de la directive 2013/36/UE, qui transmet immédiatement cette déclaration à la BCE.
4. Aux fins du premier alinéa, les entités financières établissent, après avoir recueilli et analysé toutes les informations pertinentes, la notification initiale et les rapports visés au paragraphe 4 du présent article en utilisant les modèles visés à l’article 20, et les soumettent à l’autorité compétente. S’il s’avère qu’une impossibilité technique empêche la soumission de la notification initiale au moyen du modèle, les entités financières le notifient à l’autorité compétente par d’autres moyens.
5. La notification initiale et les rapports visés au paragraphe 4 comprennent toutes les informations nécessaires pour permettre à l’autorité compétente de déterminer l’importance de l’incident majeur lié aux TIC et d’évaluer les éventuelles incidences transfrontières.
6. Sans préjudice de la déclaration par l’entité financière à l’autorité compétente concernée en vertu du premier alinéa, les États membres peuvent en outre décider que certaines entités financières ou toutes les entités financières fournissent également la notification initiale et chacun des rapports visés au paragraphe 4 du présent article, en utilisant les modèles visés à l’article 20, aux autorités compétentes ou aux centres de réponse aux incidents de sécurité informatique (CSIRT) désignés ou établis conformément à la directive (UE) 2022/2555.
1. Les entités financières peuvent notifier, à titre volontaire, les cybermenaces importantes à l’autorité compétente concernée lorsqu’elles estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients. L’autorité compétente concernée peut communiquer ces informations à d’autres autorités compétentes conformément au paragraphe 6.
2. Les établissements de crédit classés comme importants, conformément à l’article 6, paragraphe 4, du règlement (UE) n^o 1024/2013, peuvent, à titre volontaire, notifier les cybermenaces importantes à l’autorité nationale compétente concernée, désignée conformément à l’article 4 de la directive 2013/36/UE, qui transmet immédiatement la notification à la BCE.
3. Les États membres peuvent décider que les entités financières qui, à titre volontaire, notifient conformément au premier alinéa peuvent également transmettre cette notification aux CSIRT désignés ou établis conformément à la directive (UE) 2022/2555.
1. Lorsqu’un incident majeur lié aux TIC survient et a une incidence sur les intérêts financiers des clients, les entités financières informent leurs clients de cet incident majeur lié aux TIC et des mesures qui ont été prises pour atténuer les effets préjudiciables de cet incident sans retard injustifié, dès qu’elles en ont connaissance.
2. En cas de cybermenace importante, les entités financières informent, le cas échéant, leurs clients susceptibles d’être affectés de toute mesure de protection appropriée que ces derniers pourraient envisager de prendre.
1. Les entités financières soumettent, dans les délais à fixer conformément à l’article 20, premier alinéa, point a) ii), à l’autorité compétente concernée les éléments suivants:
  1. une notification initiale;
  2. un rapport intermédiaire après la notification initiale visée au point a), dès que la situation de l’incident initial a sensiblement changé ou que le traitement de l’incident majeur lié aux TIC a changé sur la base des nouvelles informations disponibles, suivi, le cas échéant, de notifications actualisées chaque fois qu’une mise à jour pertinente de la situation est disponible, ainsi que sur demande spécifique de l’autorité compétente;
  3. un rapport final, lorsque l’analyse des causes originelles est terminée, que des mesures d’atténuation aient déjà été mises en œuvre ou non, et lorsque les chiffres relatifs aux incidences réelles sont disponibles en lieu et place des estimations.
1. Les entités financières peuvent externaliser, conformément au droit sectoriel de l’Union et national, les obligations de déclaration prévues par le présent article à un prestataire tiers de services. Dans le cas d’une telle externalisation, l’entité financière reste pleinement responsable du respect des exigences en matière de déclaration des incidents.
1. Dès réception de la notification initiale et de chaque rapport visé au paragraphe 4, l’autorité compétente fournit, en temps utile, des détails sur l’incident majeur lié aux TIC aux destinataires suivants sur la base, selon le cas, de leurs compétences respectives:
  1. à l’ABE, à l’AEMF ou à l’AEAPP;
  2. à la BCE pour ce qui est des entités financières visées à l’article 2, paragraphe 1, points a), b) et d);
  3. aux autorités compétentes, aux points de contact uniques ou aux CSIRT désignés ou établis conformément à la directive (UE) 2022/2555;
  4. aux autorités de résolution visées à l’article 3 de la directive 2014/59/UE et au Conseil de résolution unique (CRU) en ce qui concerne les entités visées à l’article 7, paragraphe 2, du règlement (UE) n^o 806/2014 du Parlement européen et du Conseil(³⁷) et, en ce qui concerne les entités et les groupes visés à l’article 7, paragraphe 4, point b), et à l’article 7, paragraphe 5, du règlement (UE) n^o 806/2014, si ces détails concernent des incidents qui présentent un risque pour l’exercice de fonctions critiques au sens de l’article 2, paragraphe 1, point 35, de la directive 2014/59/UE; et
  5. à d’autres autorités publiques compétentes en vertu du droit national.
1. Après réception des informations visées au paragraphe 6, l’ABE, l’AEMF ou l’AEAPP et la BCE, en consultation avec l’ENISA et en coopération avec l’autorité compétente concernée, évaluent si l’incident majeur lié aux TIC est pertinent pour les autorités compétentes d’autres États membres. À la suite de cette évaluation, l’ABE, l’AEMF ou l’AEAPP informent en conséquence, dès que possible, les autorités compétentes concernées des autres États membres. La BCE informe les membres du Système européen de banques centrales des questions pertinentes pour le système de paiement. Sur la base de cette notification, les autorités compétentes prennent, le cas échéant, toutes les mesures nécessaires afin de protéger la stabilité immédiate du système financier.
1. La notification à effectuer par l’AEMF en vertu du paragraphe 7 du présent article est sans préjudice de la responsabilité de l’autorité compétente de transmettre d’urgence les détails de l’incident majeur lié aux TIC à l’autorité concernée de l’État membre d’accueil, lorsqu’un dépositaire central de titres exerce une activité transfrontière importante dans l’État membre d’accueil, que l’incident majeur lié aux TIC est susceptible d’avoir de graves conséquences sur les marchés financiers de l’État membre d’accueil et qu’il existe des accords de coopération entre les autorités compétentes en matière de surveillance des entités financières.

Relevant recitals

Considérant 22 Divergent incident reporting requirements

Les seuils et les taxinomies de notification des incidents liés aux TIC varient considérablement au niveau national. Bien que des bases communes puissent être dégagées grâce aux travaux pertinents menés par l’Agence de l’Union européenne pour la cybersécurité (ENISA) instituée par le règlement (UE) 2019/881 du Parlement européen et du Conseil(¹¹) et le groupe de coopération relevant de la directive (UE) 2022/2555, des approches divergentes sur la fixation des seuils et l’utilisation des taxinomies existent toujours ou peuvent apparaître pour les autres entités financières. En raison de ces divergences, il existe de multiples exigences auxquelles les entités financières doivent se conformer, notamment lorsqu’elles sont actives dans plusieurs États membres et lorsqu’elles font partie d’un groupe financier. En outre, ces divergences sont susceptibles d’entraver la création de nouveaux mécanismes uniformes ou centralisés au niveau de l’Union, qui accéléreraient le processus de notification et favoriseraient un échange rapide et sans entrave d’informations entre les autorités compétentes, ce qui est essentiel pour faire face au risque lié aux TIC en cas d’attaques à grande échelle susceptibles d’avoir des conséquences systémiques.

Considérant 24 Robust ICT-related incident reporting regime

Afin de permettre aux autorités compétentes de remplir un rôle de surveillance en obtenant une vue d’ensemble complète de la nature, de la fréquence, de l’importance et des conséquences des incidents liés aux TIC, et afin d’améliorer l’échange d’informations entre les autorités publiques compétentes, y compris les autorités répressives et les autorités de résolution, le présent règlement devrait établir un régime solide de notification des incidents liés aux TIC dans le cadre duquel les exigences pertinentes remédieraient aux lacunes actuelles du droit sur les services financiers, et supprimerait les chevauchements et doubles emplois existants afin d’alléger les coûts. Il est essentiel d’harmoniser le régime de notification des incidents liés aux TIC en imposant à toutes les entités financières de les notifier à leurs autorités compétentes au moyen d’un cadre rationalisé unique défini dans le présent règlement. En outre, les AES devraient être habilitées à préciser davantage les éléments nécessaires au cadre de notification des incidents liés aux TIC, tels que la taxinomie, les délais, les ensembles de données, les modèles et les seuils applicables. Pour veiller à une pleine cohérence avec la directive (UE) 2022/2555, les entités financières devraient être autorisées à notifier, à titre volontaire, les cybermenaces importantes à l’autorité compétente concernée lorsqu’elles estiment que la cybermenace est pertinente pour le système financier, les utilisateurs de services ou les clients.

Considérant 51 Streamlined ICT-related incident reporting

Les propagateurs de cyberattaques cherchent généralement des gains financiers directement à la source, exposant ainsi les entités financières à des répercussions importantes. Pour prévenir toute perte d’intégrité des systèmes de TIC ou toute indisponibilité de ceux-ci, et ainsi éviter toute violation de données et tout dommage à l’infrastructure physique de TIC, les entités financières devraient améliorer et rationaliser considérablement la notification des incidents majeurs liés aux TIC. La notification des incidents liés aux TIC devrait être harmonisée par l’introduction d’une obligation pour toutes les entités financières de soumettre une notification directement à leurs autorités compétentes concernées. Lorsqu’une entité financière est soumise à une surveillance par plus d’une autorité compétente nationale, les États membres devraient désigner une seule autorité compétente comme destinataire de cette notification. Les établissements de crédit classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) n^o 1024/2013 du Conseil(¹⁹) devraient soumettre cette notification à l’autorité compétente nationale, qui devrait ensuite transmettre le rapport à la Banque centrale européenne (BCE).

Considérant 53 Materiality thresholds and reporting timelines

Toutes les entités financières devraient être tenues de notifier des incidents, mais cette obligation ne devrait pas toutes les concerner de la même manière. En effet, les seuils d’importance significative ainsi que les délais de notification devraient être dûment fixés, dans le contexte des actes délégués fondés sur les normes techniques de réglementation qui doivent être élaborées par les AES, de manière à ne rendre compte que des incidents majeurs liés aux TIC. En outre, il convient de tenir compte des spécificités des entités financières lors de la fixation du calendrier des obligations de notification.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.