Article 20 Harmonisation du contenu et des modèles des rapports de notification

Summary What does Article 20 of the DORA regulation say?

This article is a technical standards mandate that directly supports the incident reporting obligations established in Articles 18 and 19.

It tasks the ESAs, working through the Joint Committee and in consultation with ENISA and the ECB, with developing both regulatory and implementing technical standards to standardise how major ICT-related incidents and significant cyber threats are reported.

The goal is to create uniform content requirements, time limits, and templates across the financial sector, while still allowing for some sector-specific flexibility in reporting timelines.

Important points:

The ESAs are required to develop technical standards covering the content of incident reports, reporting time limits, and the content of significant cyber threat notifications.
Standard forms, templates and procedures for financial entities to use when reporting major ICT-related incidents and significant cyber threats must also be developed by the ESAs.
The ESAs were required to submit all draft technical standards to the Commission by 17 July 2024, after which the Commission holds the power to formally adopt them.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Les AES, agissant par l’intermédiaire du comité mixte et en concertation avec l’ENISA et la BCE, élaborent:
1. des projets communs de normes techniques de réglementation dans le but:
  de définir le contenu des rapports relatifs aux incidents majeurs liés aux TIC afin de refléter les critères énoncés à l’article 18, paragraphe 1, et d’intégrer d’autres éléments, tels que des détails permettant de déterminer la pertinence de la notification pour les autres États membres et s’il s’agit d’un incident opérationnel ou de sécurité majeur lié au paiement;
  de fixer les délais pour la notification initiale et pour chaque rapport visé à l’article 19, paragraphe 4;
  d’établir le contenu de la notification en ce qui concerne les cybermenaces importantes.
  Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations, et en particulier en vue de garantir que, aux fins du point a) ii), du présent alinéa, différents délais puissent refléter, le cas échéant, les spécificités des secteurs financiers, sans préjudice du maintien d’une approche cohérente de la notification des incidents liés aux TIC en application du présent règlement et de la directive (UE) 2022/2555. Les AES fournissent, le cas échéant, une justification lorsqu’elles s’écartent des approches adoptées dans le cadre de ladite directive;
2. des projets communs de normes techniques d’exécution afin de définir les formulaires, les modèles et les procédures types permettant aux entités financières de notifier un incident majeur lié aux TIC et de notifier une cybermenace importante.
Les AES soumettent à la Commission les projets communs de normes techniques de réglementation visés au premier alinéa, point a), et les projets communs de normes techniques d’exécution visés au premier alinéa, point b), au plus tard le 17 juillet 2024.
Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation communes visées au premier alinéa, point a), est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.
Le pouvoir d’adopter les normes techniques d’exécution communes visées au premier alinéa, point b), est conféré à la Commission conformément à l’article 15 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.

Relevant recitals

Considérant 22 Divergent incident reporting requirements

Les seuils et les taxinomies de notification des incidents liés aux TIC varient considérablement au niveau national. Bien que des bases communes puissent être dégagées grâce aux travaux pertinents menés par l’Agence de l’Union européenne pour la cybersécurité (ENISA) instituée par le règlement (UE) 2019/881 du Parlement européen et du Conseil(¹¹) et le groupe de coopération relevant de la directive (UE) 2022/2555, des approches divergentes sur la fixation des seuils et l’utilisation des taxinomies existent toujours ou peuvent apparaître pour les autres entités financières. En raison de ces divergences, il existe de multiples exigences auxquelles les entités financières doivent se conformer, notamment lorsqu’elles sont actives dans plusieurs États membres et lorsqu’elles font partie d’un groupe financier. En outre, ces divergences sont susceptibles d’entraver la création de nouveaux mécanismes uniformes ou centralisés au niveau de l’Union, qui accéléreraient le processus de notification et favoriseraient un échange rapide et sans entrave d’informations entre les autorités compétentes, ce qui est essentiel pour faire face au risque lié aux TIC en cas d’attaques à grande échelle susceptibles d’avoir des conséquences systémiques.

Considérant 24 Robust ICT-related incident reporting regime

Afin de permettre aux autorités compétentes de remplir un rôle de surveillance en obtenant une vue d’ensemble complète de la nature, de la fréquence, de l’importance et des conséquences des incidents liés aux TIC, et afin d’améliorer l’échange d’informations entre les autorités publiques compétentes, y compris les autorités répressives et les autorités de résolution, le présent règlement devrait établir un régime solide de notification des incidents liés aux TIC dans le cadre duquel les exigences pertinentes remédieraient aux lacunes actuelles du droit sur les services financiers, et supprimerait les chevauchements et doubles emplois existants afin d’alléger les coûts. Il est essentiel d’harmoniser le régime de notification des incidents liés aux TIC en imposant à toutes les entités financières de les notifier à leurs autorités compétentes au moyen d’un cadre rationalisé unique défini dans le présent règlement. En outre, les AES devraient être habilitées à préciser davantage les éléments nécessaires au cadre de notification des incidents liés aux TIC, tels que la taxinomie, les délais, les ensembles de données, les modèles et les seuils applicables. Pour veiller à une pleine cohérence avec la directive (UE) 2022/2555, les entités financières devraient être autorisées à notifier, à titre volontaire, les cybermenaces importantes à l’autorité compétente concernée lorsqu’elles estiment que la cybermenace est pertinente pour le système financier, les utilisateurs de services ou les clients.

Considérant 51 Streamlined ICT-related incident reporting

Les propagateurs de cyberattaques cherchent généralement des gains financiers directement à la source, exposant ainsi les entités financières à des répercussions importantes. Pour prévenir toute perte d’intégrité des systèmes de TIC ou toute indisponibilité de ceux-ci, et ainsi éviter toute violation de données et tout dommage à l’infrastructure physique de TIC, les entités financières devraient améliorer et rationaliser considérablement la notification des incidents majeurs liés aux TIC. La notification des incidents liés aux TIC devrait être harmonisée par l’introduction d’une obligation pour toutes les entités financières de soumettre une notification directement à leurs autorités compétentes concernées. Lorsqu’une entité financière est soumise à une surveillance par plus d’une autorité compétente nationale, les États membres devraient désigner une seule autorité compétente comme destinataire de cette notification. Les établissements de crédit classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) n^o 1024/2013 du Conseil(¹⁹) devraient soumettre cette notification à l’autorité compétente nationale, qui devrait ensuite transmettre le rapport à la Banque centrale européenne (BCE).

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.