Art. 9 Seuils d’importance significative pour la détermination des incidents majeurs | RTS on incident classification | DORA

This article is the quantitative and qualitative backbone of the incident classification framework, directly supporting Article 8, which sets out when an incident qualifies as a major incident.

Article 9 translates the broad criteria introduced in Article 18(1) of DORA into concrete, measurable thresholds across six distinct dimensions: clients and transactions affected, reputational impact, duration and service downtime, geographical spread, data losses, and economic impact.

Together, these thresholds give financial entities a clear set of triggers to determine when an incident crosses the line into major incident territory.

Important points:

Assess each of the six materiality thresholds against your incident to determine whether a major incident reporting obligation under Article 8 is triggered.
Where exact figures cannot be determined, estimate the number of affected clients, financial counterparts, or transactions using data from comparable reference periods.
Key hard thresholds to be aware of include: more than 10% or 100,000 affected clients, service downtime exceeding 2 hours for critical or important functions, and costs or losses exceeding 100,000 euro.

1. Le seuil d’importance significative pour le critère «clients, contreparties financières et transactions» est atteint lorsque l’une des conditions suivantes est remplie:
  1. le nombre des clients touchés dépasse 10 % de l’ensemble des clients qui utilisent le service touché;
  2. le nombre des clients touchés qui utilisent le service touché dépasse 100 000;
  3. le nombre des contreparties financières touchées dépasse 30 % de l’ensemble des contreparties financières qui exercent des activités liées à la fourniture du service touché;
  4. le nombre des transactions touchées dépasse 10 % du nombre moyen journalier des transactions effectuées par l’entité financière liées au service touché;
  5. le volume des transactions touchées dépasse 10 % de la valeur moyenne journalière des transactions effectuées par l’entité financière liées au service touché;
  6. des clients ou des contreparties financières considérés comme importants en vertu de l’article 1^er, paragraphe 3, ont été touchés.
2. Lorsque le nombre réel des clients ou des contreparties financières touchés, ou le nombre ou le volume réel des transactions touchées, ne peut pas être déterminé, l’entité financière estime ce nombre ou ce volume à partir des données disponibles portant sur des périodes de référence comparables.
1. Le seuil d’importance significative pour le critère «atteinte à la réputation» est atteint lorsque l’une des conditions énoncées à l’article 2, points a) à d), est remplie.
1. Le seuil d’importance significative pour le critère «durée et interruptions de service» est atteint lorsque l’une des conditions suivantes est remplie:
  1. la durée de l’incident dépasse 24 heures;
  2. l’interruption de service dépasse 2 heures pour les services TIC qui soutiennent des fonctions critiques ou importantes.
1. Le seuil d’importance significative pour le critère «répartition géographique» est atteint lorsque l’incident a une incidence dans deux États membres ou plus, conformément à l’article 4.
1. Le seuil d’importance significative pour le critère «pertes de données» est atteint lorsque l’une des conditions suivantes est remplie:
  1. l’incidence sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données, visée à l’article 5, nuit ou nuira à la mise en œuvre des objectifs opérationnels de l’entité financière ou à sa capacité de satisfaire aux exigences réglementaires;
  2. les réseaux et les systèmes d’information sont l’objet d’un accès réussi, malveillant et non autorisé non couvert par le point a) et susceptible d’entraîner des pertes de données.
1. Le seuil d’importance significative pour le critère «conséquences économiques» est atteint lorsque les coûts et les pertes supportés par l’entité financière en raison de l’incident ont dépassé, ou sont susceptibles de dépasser, 100 000 EUR.