Source: OJ L, 2025/301, 20.2.2025

Current language: FR

Article 3 Informations spécifiques à fournir dans les rapports intermédiaires

Summary What does Article 3 of the RTS on incident reporting say?

This article defines the minimum content requirements for the intermediate report that financial entities must submit following a major ICT-related incident.

Building directly on Article 2, which governs the initial notification, this article represents the next stage of the reporting process and demands a considerably deeper level of detail.

Where the initial notification establishes that an incident has occurred and why it qualifies as major, the intermediate report requires financial entities to provide a fuller operational picture — covering the nature of the incident, its impact on clients and business processes, the infrastructure affected, and the recovery measures underway or planned.

Important points:

  • Include in the intermediate report a detailed account of how the incident met the major classification criteria under Delegated Regulation (EU) 2024/1772.
  • Report on the impact on clients' financial interests, affected business processes, and infrastructure components.
  • Document temporary recovery actions already taken or planned, and disclose any reporting of the incident to other authorities.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Les rapports intermédiaires visés à l’article 19, paragraphe 4, point b), du règlement (UE) 2022/2554 contiennent au moins toutes les informations spécifiques suivantes:

  1. le cas échéant, le code de référence de l’incident attribué par l’autorité compétente;

  2. la date et l’heure auxquelles l’incident lié aux TIC est survenu;

  3. le cas échéant, la date et l’heure auxquelles l’entité financière a repris ses activités régulières;

  4. des informations sur la manière dont les critères énoncés aux articles 1er à 8 du règlement délégué (UE) 2024/1772 ont été remplis, sur la base desquels l’entité financière a classé l’incident lié aux TIC comme majeur;

  5. le type d’incident lié aux TIC;

  6. le cas échéant, les menaces et les techniques utilisées par l’acteur de la menace;

  7. les domaines fonctionnels et les processus opérationnels concernés;

  8. les composants d’infrastructure concernés soutenant les processus opérationnels;

  9. l’incidence sur les intérêts financiers des clients;

  10. des informations sur la notification de l’incident lié aux TIC à d’autres autorités;

  11. les actions ou mesures temporaires prises ou prévues par l’entité financière pour se rétablir à la suite de l’incident lié aux TIC;

  12. le cas échéant, des informations sur les indicateurs de compromis.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod