Source: OJ L, 2024/1772, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT-related incidents
- RTS on incident classification
Article 2 Atteinte à la réputation
Summary What does Article 2 of the RTS on incident classification say?
This article defines how financial entities should determine whether an ICT incident has caused a reputational impact, which is one of the criteria used under Article 18(1) of DORA to classify and assess incidents.
It sets out a list of qualifying conditions — any one of which is sufficient to confirm that reputational harm has occurred — and adds a layer of nuance by requiring entities to factor in the level of visibility the incident has gained or is likely to gain.
Important points:
- Assess whether at least one reputational impact criterion has been met — media coverage, repetitive client complaints, inability to meet regulatory requirements, or likely loss of clients or financial counterparts with material business impact.
- Consider the visibility of the incident, both actual and potential, when making your reputational impact assessment.
- This article feeds directly into the broader incident classification framework under Article 9, where reputational impact is one of the materiality thresholds that can trigger major incident status.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Afin de déterminer l’incidence de l’incident sur la réputation, visée à l’article 18, paragraphe 1, point a), du règlement (UE) 2022/2554, les entités financières considèrent qu’il y a eu atteinte à la réputation lorsqu’au moins l’un des critères suivants est rempli:
l’incident a été relayé par les médias;
l’incident a donné lieu à des plaintes répétées de la part de différents clients ou contreparties financières concernant des services en contact direct avec la clientèle ou des relations commerciales critiques;
l’entité financière ne pourra pas satisfaire à certaines exigences réglementaires, ou il est probable qu’elle ne le pourra pas, en raison de l’incident;
l’entité financière perdra, ou il est probable qu’elle perdra, des clients ou des contreparties financières en raison de l’incident, au grand détriment de son activité.
Lorsqu’elles évaluent l’incidence de l’incident sur la réputation, les entités financières tiennent compte du niveau de visibilité que l’incident a atteint, ou est susceptible d’atteindre, en ce qui concerne chaque critère énuméré au paragraphe 1.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.