Source: OJ L, 2024/1772, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT-related incidents
- RTS on incident classification
Article 8 Incidents majeurs
Summary What does Article 8 of the RTS on incident classification say?
This is a pivotal classification article that defines exactly when an incident crosses the threshold to become a "major incident" triggering the reporting obligations under Article 19(1) of DORA.
It draws directly on the criteria and materiality thresholds established in Articles 6 and 9, acting as the decision-making gateway that ties those detailed criteria together.
Notably, the article also addresses a more nuanced scenario: repeated smaller incidents that do not individually qualify as major can be aggregated and treated as a single major incident if certain conditions are met, closing a potential loophole.
Important points:
- Ensure you classify an incident as major where it affects critical services and either meets the specific data-loss/unauthorised-access threshold or meets two or more of the other materiality thresholds from Article 9.
- Assess recurring incidents on a monthly basis, as incidents sharing the same root cause and occurring at least twice within 6 months may collectively constitute one major incident.
- The recurring incidents aggregation rule does not apply to microenterprises or financial entities listed in Article 16(1) of Regulation (EU) 2022/2554.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Un incident est considéré comme un incident majeur aux fins de l’article 19, paragraphe 1, du règlement (UE) 2022/2554 lorsqu’il a touché des services critiques visés à l’article 6 et lorsque l’une des conditions suivantes est remplie:
le seuil d’importance significative visé à l’article 9, paragraphe 5, point b), est atteint;
au moins deux des autres seuils d’importance significative visés à l’article 9, paragraphes 1 à 6, sont atteints.
Les incidents récurrents qui, pris isolément, ne sont pas considérés comme un incident majeur au sens du paragraphe 1 sont considérés comme un incident majeur lorsqu’ils remplissent toutes les conditions suivantes:
ils se sont produits au moins deux fois en six mois;
ils ont la même cause originelle apparente, telle que visée à l’article 20, premier alinéa, point b), du règlement (UE) 2022/2554;
ils remplissent collectivement les critères pour être considérés comme un incident majeur énoncés au paragraphe 1.
Les entités financières évaluent l’existence d’incidents récurrents chaque mois.
Le présent paragraphe ne s’applique pas aux microentreprises ni aux entités financières énumérées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
référentiel central
(En. trade repository)
Definition
plate-forme de négociation
(En. trading venue)
Definition
dépositaire central de titres
(En. central securities depository)
Definition
contrepartie centrale
(En. central counterparty)
Definition
microentreprise
(En. microenterprise)