Art. 7 Conséquences économiques | RTS on incident classification | DORA

This article defines how financial entities must calculate the economic impact of an ICT incident, feeding directly into the broader incident classification criteria set out in Article 18(1) of DORA.

It draws a clear boundary between what counts as incident-related costs and what does not, ensuring that only genuine losses stemming from the incident are factored into the assessment.

Notably, calculations are made without accounting for any financial recoveries, meaning the gross impact is what matters here.

Important points:

Calculate economic impact by summing all direct and indirect costs and losses from the incident — covering everything from stolen assets and staff costs to advisory fees and forgone revenues.
Exclude routine business costs such as general maintenance, post-incident upgrades, and insurance premiums from the calculation.
Where actual costs cannot be determined, estimate the amounts based on data available at the time of reporting.

1. Afin de déterminer les conséquences économiques de l’incident, visées à l’article 18, paragraphe 1, point f), du règlement (UE) 2022/2554, les entités financières, sans comptabiliser les recouvrements financiers, tiennent compte des types suivants de coûts et de pertes directs et indirects qu’elles ont supportés en raison de l’incident:
  1. les fonds ou les actifs financiers expropriés dont elles sont responsables, y compris les actifs perdus à la suite d’un vol;
  2. les coûts du remplacement ou du déplacement de logiciels, de matériel ou d’infrastructures;
  3. les frais de personnel, y compris les coûts liés au remplacement ou au déménagement du personnel, au recrutement de personnel supplémentaire, à la rémunération des heures supplémentaires et à la récupération des compétences perdues ou altérées;
  4. les frais dus au non-respect d’obligations contractuelles;
  5. les coûts de dédommagement et d’indemnisation des clients;
  6. les pertes dues aux recettes non perçues;
  7. les coûts liés à la communication interne et externe;
  8. les frais de conseil, y compris les coûts liés au conseil juridique, aux services d’analyse forensique et aux services de remédiation.
1. Les coûts et pertes visés au paragraphe 1 excluent les coûts nécessaires au fonctionnement quotidien de l’entreprise, en particulier:
  1. les coûts de maintenance générale des infrastructures, des équipements, du matériel et des logiciels, ainsi que les coûts d’actualisation des compétences du personnel;
  2. les coûts internes ou externes engagés pour renforcer l’activité après l’incident, notamment les mises à niveau, les améliorations et l’adoption de mesures d’évaluation des risques;
  3. les primes d’assurance.
1. Les entités financières calculent les montants des coûts et des pertes sur la base des données disponibles au moment de la déclaration. Lorsque les montants réels des coûts et des pertes ne peuvent pas être déterminés, les entités financières les estiment.
1. Lorsqu’elles évaluent les conséquences économiques de l’incident, les entités financières additionnent les coûts et les pertes visés au paragraphe 1.