Source: OJ L, 2025/301, 20.2.2025

Current language: FR

Article 5 Délais pour la notification initiale et pour les rapports intermédiaire et final

Summary What does Article 5 of the RTS on incident reporting say?

This article establishes the strict deadlines by which financial entities must submit each stage of their major ICT incident reporting, directly supporting the three-part reporting structure set out in Articles 2, 3, and 4.

It works through the timeline from initial notification through to the final report, and also addresses edge cases such as late classification of an incident as major, inability to meet deadlines, and whether weekend or bank holiday extensions apply.

Important points:

  • Submit your initial notification within four hours of classifying an incident as major, and no later than 24 hours from first becoming aware of it.
  • The weekend and bank holiday deadline extension is not available to credit institutions, central counterparties, operators of trading venues, or entities classified as essential or important under Directive (EU) 2022/2555.
  • Competent authorities may remove the weekend and bank holiday extension for other financial entities they consider significant or systemic at national or Union level, but only for incidents reported after they have formally notified those entities of this decision.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Les entités financières soumettent la notification initiale et les rapports intermédiaire et final visés à l’article 19, paragraphe 4, points a), b) et c), du règlement (UE) 2022/2554 dans les délais suivants:

      1. pour le rapport initial: le plus tôt possible, mais en tout état de cause, dans un délai de quatre heures à compter de la classification de l’incident lié aux TIC comme majeur et au plus tard 24 heures à compter du moment où l’entité financière en a eu connaissance;

      2. pour le rapport intermédiaire: au plus tard dans un délai de 72 heures à compter de la soumission de la notification initiale, même si la situation ou le traitement de l’incident n’ont pas changé conformément à l’article 19, paragraphe 4, point b), du règlement (UE) 2022/2554. Les entités financières soumettent sans retard injustifié un rapport intermédiaire actualisé et, en tout état de cause, lorsque les activités régulières ont repris;

      3. pour le rapport final: au plus tard un mois après la soumission du rapport intermédiaire ou, le cas échéant, après la dernière mise à jour du rapport intermédiaire.

    1. Lorsque l’entité financière n’a pas classé un incident lié aux TIC comme majeur dans un délai de 24 heures à compter du moment où elle en a eu connaissance, mais qu’elle classe cet incident comme majeur à un stade ultérieur, elle soumet la notification initiale dans un délai de quatre heures à compter de la classification de l’incident lié aux TIC comme majeur.

    1. Les entités financières qui ne sont pas en mesure de soumettre la notification initiale, le rapport intermédiaire ou le rapport final dans les délais fixés au paragraphe 1 en informent l’autorité compétente dans les meilleurs délais, mais au plus tard dans les délais respectifs pour la soumission de la notification ou du rapport, et en expliquent les raisons.

    1. Lorsque le délai de soumission d’une notification initiale, d’un rapport intermédiaire ou d’un rapport final expire un jour de week-end ou un jour férié dans l’État membre de l’entité financière déclarante, l’entité financière peut soumettre la notification initiale, le rapport intermédiaire ou le rapport final au plus tard à midi le jour ouvrable suivant.

    1. Le paragraphe 4 ne s’applique pas à la soumission d’une notification initiale ou d’un rapport intermédiaire par les établissements de crédit, les contreparties centrales, les opérateurs de plates-formes de négociation et d’autres entités financières considérées comme des entités essentielles ou importantes conformément à l’article 3 de la directive (UE) 2022/2555.

    1. Les autorités compétentes peuvent décider que le paragraphe 4 ne s’applique pas à la soumission d’une notification initiale ou d’un rapport intermédiaire par les entités financières, autres que celles visées au paragraphe 5, qui sont classées comme importantes ou présentent un caractère systémique pour le secteur financier au niveau national ou de l’Union. Les autorités compétentes notifient leur décision aux entités financières concernées. La décision de l’autorité compétente ne s’applique qu’en ce qui concerne les incidents déclarés après la date de la notification de la décision par l’autorité compétente aux entités financières concernées.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod