Article 21 Centralisation des notifications d’incidents majeurs liés aux TIC

Summary What does Article 21 of the DORA regulation say?

This article sits within the broader incident reporting framework established by DORA and tasks the ESAs, working through the Joint Committee and in consultation with the ECB and ENISA, with producing a feasibility report on whether ICT-related incident reporting by financial entities could be centralised through a single EU Hub.

The article is essentially a scoping and research exercise — it does not itself create a Hub, but rather sets out what must be studied and reported upon, covering practical considerations such as costs, governance, interoperability, and membership conditions.

The report must be submitted to the European Parliament, the Council, and the Commission by 17 January 2025.

Important points:

The ESAs are required to produce and submit a joint feasibility report on a centralised EU incident reporting Hub by 17 January 2025.
The report must address a defined list of elements, including prerequisites, risks, interoperability, operational management, membership conditions, technical access arrangements, and a preliminary cost assessment.
The stated goals of any such Hub would be to facilitate incident reporting flows, reduce associated costs, and enhance supervisory convergence.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les AES, agissant par l’intermédiaire du comité mixte, et en consultation avec la BCE et l’ENISA, élaborent un rapport conjoint qui évalue la possibilité de renforcer la centralisation des notifications d’incidents par la création d’une plateforme unique de l’Union pour la notification des incidents majeurs liés aux TIC par les entités financières. Le rapport conjoint étudie les moyens de faciliter le flux des notifications d’incidents liés aux TIC, de réduire les coûts connexes et d’étayer les analyses thématiques en vue de renforcer la convergence en matière de surveillance.
1. Le rapport conjoint visé au paragraphe 1 comprend au moins les éléments suivants:
  1. les conditions préalables à la création de cette plateforme unique de l’Union;
  2. les avantages, les limites et les risques, y compris les risques associés à la concentration élevée d’informations sensibles;
  3. la capacité nécessaire pour assurer l’interopérabilité au regard d’autres mécanismes de notification pertinents;
  4. les aspects de la gestion opérationnelle;
  5. les conditions de participation;
  6. les modalités techniques d’accès des entités financières et des autorités nationales compétentes à la plateforme unique de l’Union;
  7. une évaluation préliminaire des coûts financiers engendrés par la mise en place de la plateforme opérationnelle qui soutiendra la plateforme unique de l’Union, y compris l’expertise requise.
1. Les AES remettent le rapport visé au paragraphe 1 au Parlement européen, au Conseil et à la Commission au plus tard le 17 janvier 2025.

Relevant recitals

Considérant 22 Divergent incident reporting requirements

Les seuils et les taxinomies de notification des incidents liés aux TIC varient considérablement au niveau national. Bien que des bases communes puissent être dégagées grâce aux travaux pertinents menés par l’Agence de l’Union européenne pour la cybersécurité (ENISA) instituée par le règlement (UE) 2019/881 du Parlement européen et du Conseil(¹¹) et le groupe de coopération relevant de la directive (UE) 2022/2555, des approches divergentes sur la fixation des seuils et l’utilisation des taxinomies existent toujours ou peuvent apparaître pour les autres entités financières. En raison de ces divergences, il existe de multiples exigences auxquelles les entités financières doivent se conformer, notamment lorsqu’elles sont actives dans plusieurs États membres et lorsqu’elles font partie d’un groupe financier. En outre, ces divergences sont susceptibles d’entraver la création de nouveaux mécanismes uniformes ou centralisés au niveau de l’Union, qui accéléreraient le processus de notification et favoriseraient un échange rapide et sans entrave d’informations entre les autorités compétentes, ce qui est essentiel pour faire face au risque lié aux TIC en cas d’attaques à grande échelle susceptibles d’avoir des conséquences systémiques.

Considérant 24 Robust ICT-related incident reporting regime

Afin de permettre aux autorités compétentes de remplir un rôle de surveillance en obtenant une vue d’ensemble complète de la nature, de la fréquence, de l’importance et des conséquences des incidents liés aux TIC, et afin d’améliorer l’échange d’informations entre les autorités publiques compétentes, y compris les autorités répressives et les autorités de résolution, le présent règlement devrait établir un régime solide de notification des incidents liés aux TIC dans le cadre duquel les exigences pertinentes remédieraient aux lacunes actuelles du droit sur les services financiers, et supprimerait les chevauchements et doubles emplois existants afin d’alléger les coûts. Il est essentiel d’harmoniser le régime de notification des incidents liés aux TIC en imposant à toutes les entités financières de les notifier à leurs autorités compétentes au moyen d’un cadre rationalisé unique défini dans le présent règlement. En outre, les AES devraient être habilitées à préciser davantage les éléments nécessaires au cadre de notification des incidents liés aux TIC, tels que la taxinomie, les délais, les ensembles de données, les modèles et les seuils applicables. Pour veiller à une pleine cohérence avec la directive (UE) 2022/2555, les entités financières devraient être autorisées à notifier, à titre volontaire, les cybermenaces importantes à l’autorité compétente concernée lorsqu’elles estiment que la cybermenace est pertinente pour le système financier, les utilisateurs de services ou les clients.

Considérant 51 Streamlined ICT-related incident reporting

Les propagateurs de cyberattaques cherchent généralement des gains financiers directement à la source, exposant ainsi les entités financières à des répercussions importantes. Pour prévenir toute perte d’intégrité des systèmes de TIC ou toute indisponibilité de ceux-ci, et ainsi éviter toute violation de données et tout dommage à l’infrastructure physique de TIC, les entités financières devraient améliorer et rationaliser considérablement la notification des incidents majeurs liés aux TIC. La notification des incidents liés aux TIC devrait être harmonisée par l’introduction d’une obligation pour toutes les entités financières de soumettre une notification directement à leurs autorités compétentes concernées. Lorsqu’une entité financière est soumise à une surveillance par plus d’une autorité compétente nationale, les États membres devraient désigner une seule autorité compétente comme destinataire de cette notification. Les établissements de crédit classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) n^o 1024/2013 du Conseil(¹⁹) devraient soumettre cette notification à l’autorité compétente nationale, qui devrait ensuite transmettre le rapport à la Banque centrale européenne (BCE).

Considérant 55 Feasibility of centralized incident reporting

Les AES devraient être chargées d’examiner la faisabilité et les conditions de la possibilité de centraliser les rapports sur les incidents liés aux TIC au niveau de l’Union. Cette centralisation pourrait consister en une plateforme unique de l’Union en matière de notification des incidents majeurs liés aux TIC, qui soit recevrait directement les rapports pertinents et en informerait automatiquement les autorités nationales compétentes, soit se contenterait de centraliser les rapports pertinents que lui transmettraient les autorités nationales compétentes et assumerait donc un rôle de coordination. Les AES devraient être chargées d’élaborer, en consultation avec la BCE et l’ENISA, un rapport conjoint évaluant la faisabilité de la création d’une plateforme unique de l’Union.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.