Art. 1 Modèle de déclaration des incidents majeurs liés aux TIC | ITS on templates for incident reporting | DORA

This is the central operational article of the regulation, establishing how financial entities must use the standardised reporting template in Annex I when notifying competent authorities of major ICT-related incidents.

It directly implements the reporting obligation under Article 19(4) of DORA (Regulation (EU) 2022/2554) and works in conjunction with Delegated Regulation (EU) 2025/301, which sets out the content requirements for each stage of reporting.

The article governs all three reporting stages — initial notification, intermediate report, and final report — and sets clear expectations around accuracy, the use of estimates when precise data is unavailable, and the need to update previously submitted information as the reporting process progresses.

Important points:

Use the Annex I template to submit all three stages of major ICT-related incident reporting, completing the data fields relevant to each stage as defined in Delegated Regulation (EU) 2025/301.
Ensure all reported information is complete and accurate, and where accurate data is not yet available, provide estimated values based on available data and information.
Follow the data glossary and instructions in Annex II when completing the template, and update previously submitted information in each subsequent report.

1. Les entités financières utilisent le modèle figurant à l’annexe I pour soumettre la notification initiale, le rapport intermédiaire et le rapport final visés à l’article 19, paragraphe 4, du règlement (UE) 2022/2554, selon les modalités suivantes:
  1. les entités financières qui soumettent une notification initiale remplissent les champs de données du modèle qui correspondent aux informations devant être fournies conformément à l’article 2 du règlement délégué (UE) 2025/301 de la Commission(⁷), et peuvent, lorsqu’elles disposent déjà de ces informations, compléter les champs de données qu’il n’est pas obligatoire de remplir pour les besoins d’une notification initiale mais qui doivent l’être pour la soumission d’un rapport intermédiaire ou final;
  2. les entités financières qui soumettent un rapport intermédiaire remplissent les champs de données du modèle qui correspondent aux informations devant être fournies conformément à l’article 3 du règlement délégué (UE) 2025/301, et peuvent, lorsqu’elles disposent déjà des informations pertinentes, compléter les champs de données qu’il n’est pas obligatoire de remplir pour les besoins du rapport intermédiaire mais qui doivent l’être pour la soumission du rapport final;
  3. les entités financières qui soumettent un rapport final remplissent les champs de données du modèle qui correspondent aux informations devant être fournies conformément à l’article 4 du règlement délégué (UE) 2025/301
1. Les entités financières veillent à ce que les informations figurant dans la notification initiale ainsi que dans le rapport intermédiaire et le rapport final soient complètes et exactes.
1. Lorsque des données exactes ne sont pas disponibles au moment de soumettre la notification initiale ou le rapport intermédiaire, les entités financières fournissent, dans la mesure du possible, des valeurs estimées fondées sur d’autres données et informations disponibles.
1. Lorsqu’elles soumettent un rapport intermédiaire ou final, les entités financières utilisent le modèle figurant à l’annexe I pour communiquer toutes les informations requises et mettre à jour, s’il y a lieu, les informations précédemment fournies dans la notification initiale ou dans le rapport intermédiaire.
1. Lorsqu’elles remplissent le modèle figurant à l’annexe I, les entités financières se conforment au glossaire de données et aux instructions figurant à l’annexe II.