Art. 22 Retour d’information en matière de surveillance | DORA regulation | DORA

This article sits within the incident reporting framework established by Article 19, and deals with what happens after financial entities submit their incident reports.

It covers two distinct layers of response: first, how competent authorities should engage with financial entities following receipt of incident notifications; and second, how the ESAs should use aggregated incident data to produce broader sector-wide intelligence.

Crucially, the article makes clear that any feedback or guidance from competent authorities does not shift responsibility away from the financial entity itself.

Important points:

Competent authorities are required to acknowledge receipt of incident reports submitted under Article 19(4) and may provide feedback, anonymised threat intelligence, or guidance on remediation — but financial entities retain full responsibility for handling ICT-related incidents regardless.
The ESAs are required to publish a yearly report through the Joint Committee covering major ICT-related incidents on an anonymised and aggregated basis, including their nature, operational impact, remedial actions taken, and costs incurred.
The ESAs must also issue warnings and produce high-level statistics to support ICT threat and vulnerability assessments across the financial sector.

1. Sans préjudice des contributions, avis ou mesures correctives techniques et du suivi correspondant pouvant être fournis, le cas échéant, conformément au droit national, par les CSIRT relevant de la directive (UE) 2022/2555, dès qu’elle reçoit la notification initiale et chaque rapport visé à l’article 19, paragraphe 4, l’autorité compétente en accuse réception et peut, dans la mesure du possible, fournir en temps voulu à l’entité financière un retour d’information pertinent et adapté ou une orientation de haut niveau, notamment en rendant disponibles les informations et renseignements anonymisés pertinents sur des menaces similaires, et peut examiner les mesures correctives appliquées au niveau de l’entité financière et les moyens de réduire au maximum et d’atténuer les effets préjudiciables dans le secteur financier. Sans préjudice du retour d’information reçu en matière de surveillance, les entités financières restent pleinement responsables du traitement et des conséquences des incidents liés aux TIC déclarés conformément à l’article 19, paragraphe 1.
1. Les AES, agissant par l’intermédiaire du comité mixte, présentent chaque année un rapport anonymisé et agrégé sur les incidents majeurs liés aux TIC, dont les détails sont fournis par les autorités compétentes conformément à l’article 19, paragraphe 6, en indiquant au minimum le nombre d’incidents majeurs liés aux TIC, leur nature, leurs répercussions sur les opérations des entités financières ou des clients, les mesures correctives prises et les coûts.
2. Les AES émettent des avertissements et produisent des statistiques de haut niveau à l’appui des évaluations relatives aux menaces liées aux TIC et à la vulnérabilité des TIC.