Art. 7 Déclaration agrégée | ITS on templates for incident reporting | DORA

This article sets out the conditions under which a third-party service provider, having taken on outsourced reporting obligations under Article 6, may submit a single aggregated incident report on behalf of multiple financial entities.

It establishes a narrow permission for consolidated reporting, while carving out specific categories of financial entities that are explicitly excluded from this arrangement and must always report individually.

Important points:

Third-party service providers may submit one aggregated report for multiple financial entities only when five cumulative conditions are met, including that the incident originates from the third-party provider, all affected entities are in the same Member State under the same competent authority, and aggregated reporting has been explicitly permitted by that competent authority.
Significant credit institutions, operators of trading venues, and central counterparties are excluded from aggregated reporting and must always submit individual notifications to their competent authority.
Competent authorities retain the right to request an individual report from a financial entity at any time, even where an aggregated report has already been submitted on its behalf.

1. Un prestataire tiers de services auprès duquel des obligations de déclaration ont été externalisées conformément à l’article 19, paragraphe 5, du règlement (UE) 2022/2554 peut utiliser le modèle figurant à l’annexe I du présent règlement pour fournir, dans une seule et même notification ou un seul et même rapport, des informations agrégées sur un incident majeur lié aux TIC ayant une incidence sur plusieurs entités financières, et soumettre cette notification ou ce rapport à l’autorité compétente au nom de toutes les entités financières touchées, pour autant que toutes les conditions suivantes soient réunies:
  1. l’incident majeur lié aux TIC devant être déclaré est imputable à un prestataire tiers de services TIC ou est causé par celui-ci;
  2. ce prestataire tiers de services fournit le service TIC concerné à plus d’une entité financière ou à un groupe;
  3. l’incident lié aux TIC est classé comme majeur par chaque entité financière mentionnée dans la notification agrégée ou le rapport agrégé;
  4. l’incident majeur lié aux TIC touche des entités financières au sein d’un seul État membre et le rapport agrégé concerne des entités financières qui sont soumises à la surveillance de la même autorité compétente;
  5. les autorités compétentes ont explicitement autorisé ce type d’entités financières à agréger leurs déclarations.
1. Le paragraphe 1 ne s’applique pas aux établissements de crédit jugés d’importance significative au sens de l’article 2, point 16), du règlement (UE) n^o 468/2014 de la Banque centrale européenne(⁸), aux opérateurs de plates-formes de négociation et aux contreparties centrales, qui utilisent uniquement le modèle figurant à l’annexe I pour soumettre individuellement à leur autorité compétente des notifications ou des rapports d’incidents majeurs liés aux TIC.
1. Lorsque les autorités compétentes exigent des informations relatives à l’incidence individuelle de l’incident majeur lié aux TIC sur une seule et même entité financière, à la demande de l’autorité compétente, l’entité financière soumet une notification individuelle ou un rapport sur l’incident majeur lié aux TIC.