Source: OJ L, 2024/1772, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT-related incidents
- RTS on incident classification
Article 5 Pertes de données
Summary What does Article 5 of the RTS on incident classification say?
This article directly supports the broader incident classification framework established in Article 18(1) of DORA by defining how financial entities should assess the data loss dimension of an incident.
Rather than treating data loss as a single concept, the article breaks it down into four distinct properties of data that must each be considered when evaluating whether an incident has caused harm to data.
Important points:
- Assess data loss across four properties: availability, authenticity, integrity, and confidentiality.
- This assessment feeds into the incident classification criteria under Article 18(1) of DORA, making it a key input for determining whether reporting obligations are triggered.
- The scope covers data belonging to or demanded by the financial entity, its clients, and its counterparts.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Afin de déterminer les pertes de données occasionnées par l’incident, visées à l’article 18, paragraphe 1, point d), du règlement (UE) 2022/2554, les entités financières cherchent à savoir:
en ce qui concerne la disponibilité des données, si l’incident a rendu temporairement ou durablement inaccessibles ou inutilisables les données sollicitées par l’entité financière, ses clients ou ses contreparties;
en ce qui concerne l’authenticité des données, si l’incident a compromis la fiabilité de la source des données;
en ce qui concerne l’intégrité des données, si l’incident a entraîné une modification non autorisée des données qui les a rendues inexactes ou incomplètes;
en ce qui concerne la confidentialité des données, si l’incident a eu pour conséquence qu’une partie ou un système non autorisé a eu accès à des données ou que celles-ci lui ont été divulguées.
Relevant recitals
Considérant 5 Cyber attacks
Les critères de classification devraient permettre de rendre compte de tous les types d’incidents majeurs pertinents. De nombreux critères de classification ne rendent pas nécessairement compte des cyberattaques liées à l’intrusion dans le réseau ou les systèmes d’information. Or celles-ci sont importantes car toute intrusion dans le réseau ou les systèmes d’information est susceptible de nuire à l’entité financière. En conséquence, les critères de classification «services critiques touchés» et «pertes de données» devraient être définis de manière à rendre compte de ces types d’incidents majeurs, en particulier des intrusions non autorisées qui, même si l’on n’en connaît pas immédiatement l’incidence, sont susceptibles d’entraîner de graves conséquences, notamment des violations de données et des fuites de données.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
cyberattaque
(En. cyber-attack)