Source: OJ L 333, 27.12.2022, p. 1–79Current language: FR
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Article 23 Incidents opérationnels ou de sécurité liés au paiement concernant les établissements de crédit, les établissements de paiement, les prestataires de services d’information sur les comptes et les établissements de monnaie électronique
Summary What does Article 23 of the DORA regulation say?
This brief but important article extends the scope of the Chapter's requirements — which primarily concern ICT-related incidents — to also cover operational or security payment-related incidents.
It acts as a bridging provision, ensuring that the incident management and reporting rules established in this Chapter are not limited to purely technology-driven events, but also capture broader payment-related disruptions, whether or not they are ICT-related in origin.
Crucially, this extension does not apply to all financial entities, but only to a defined subset of payment-focused entities.
Important points:
- The incident management and reporting requirements of this Chapter apply to both operational or security payment-related incidents and major operational or security payment-related incidents — not just ICT-related ones.
- This extension applies only to credit institutions, payment institutions, account information service providers, and electronic money institutions.
- Note that the scope here covers incidents whether or not they are ICT-related in origin, broadening the reach of the Chapter's obligations for these specific entity types.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les exigences énoncées au présent chapitre s’appliquent également aux incidents opérationnels ou de sécurité liés au paiement et aux incidents opérationnels ou de sécurité majeurs liés au paiement lorsqu’ils concernent des établissements de crédit, des établissements de paiement, des prestataires de services d’information sur les comptes et des établissements de monnaie électronique.
Relevant recitals
Considérant 23 DORA consumes PSD2 major incident reporting
Pour réduire la charge administrative et les obligations de notification susceptibles d’être redondantes pour certaines entités financières, l’obligation de notification des incidents au titre de la directive (UE) 2015/2366 du Parlement européen et du Conseil(12) devrait cesser de s’appliquer aux prestataires de services de paiement qui relèvent du champ d’application du présent règlement. Par conséquent, les établissements de crédit, les établissements de monnaie électronique, les établissements de paiement et les prestataires de services d’information sur les comptes, visés à l’article 33, paragraphe 1, de ladite directive, devraient, à compter de la date d’application du présent règlement, signaler, conformément au présent règlement, tous les incidents opérationnels ou de sécurité liés au paiement qui ont été précédemment signalés au titre de ladite directive, que ces incidents soient liés ou non aux TIC.
Considérant 54 Payment-related incident reporting
Le présent règlement devrait imposer aux établissements de crédit, aux établissements de paiement, aux prestataires de services d’information sur les comptes et aux établissements de monnaie électronique de signaler tous les incidents opérationnels ou de sécurité liés au paiement qui ont été précédemment signalés au titre de la directive (UE) 2015/2366, que l’incident soit ou non lié aux TIC.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
établissement de paiement
(En. payment institution)
Definition
établissement de crédit
(En. credit institution)
Definition
établissement de monnaie électronique
(En. electronic money institution)
Definition
prestataires de services d’information sur les comptes
(En. account information service provider)
Footnote 12