Art. 10 Seuils d’importance significative élevés pour la détermination des cybermenaces importantes | RTS on incident classification | DORA

This article defines the conditions under which a cyber threat is considered "significant," which is the trigger for voluntary notification obligations under Article 18(2) of DORA.

It builds directly on the materiality thresholds established in Articles 6 and 9 of this Regulation, effectively linking the threat notification framework to the same benchmarks used for classifying actual major incidents.

All three conditions must be met simultaneously: the threat must have the potential to impact critical functions or other parties, it must carry a high probability of materialising, and it must be capable of meeting certain materiality thresholds if it were to materialise.

Important points:

Assess whether a cyber threat meets all three cumulative conditions before classifying it as significant and triggering notification obligations.
The probability of materialisation must be evaluated using available information on system vulnerabilities, threat actor capabilities and intent, and the persistence of the threat.
The materiality thresholds relating to reputational impact, duration, data losses, and economic impact may also be considered, but are not mandatory elements of the assessment.

Aux fins de l’article 18, paragraphe 2, du règlement (UE) 2022/2554, une cybermenace est considérée comme importante lorsque toutes les conditions suivantes sont remplies:
1. la cybermenace est ou était susceptible, en cas de matérialisation, de toucher des fonctions critiques ou importantes de l’entité financière, ou de toucher d’autres entités financières, prestataires tiers, clients ou contreparties financières, à en juger par les informations dont dispose l’entité financière;
2. la probabilité que la cybermenace se matérialise au sein de l’entité financière ou d’autres entités financières est grande, compte tenu au moins des éléments suivants:
  les risques applicables liés à la cybermenace, visés au point a), y compris les vulnérabilités potentielles des systèmes de l’entité financière qui peuvent être exploitées;
  les capacités et l’intention des acteurs de la menace, dans la mesure où l’entité financière en a connaissance;
  la persistance de la menace et toute connaissance acquise sur les incidents qui ont eu une incidence sur l’entité financière ou son prestataire tiers, ses clients ou ses contreparties financières;
3. si elle se matérialisait, la cybermenace pourrait remplir ou atteindre l’un des critères ou seuils suivants:
  le critère de la criticité des services énoncé à l’article 18, paragraphe 1, point e), du règlement (UE) 2022/2554, tel qu’il est précisé à l’article 6 du présent règlement;
  le seuil d’importance significative prévu à l’article 9, paragraphe 1;
  le seuil d’importance significative prévu à l’article 9, paragraphe 4.
Lorsque, en fonction du type de cybermenace et des informations disponibles, l’entité financière conclut que les seuils d’importance significative prévus à l’article 9, paragraphes 2, 3, 5 et 6, pourraient être atteints, elle peut également prendre ces seuils en considération.