Source: OJ L, 2025/301, 20.2.2025Current language: FR
- Digital operational resilience in the financial sector
ICT-related incidents
- RTS on incident reporting
Article 6 Contenu de la notification volontaire des cybermenaces importantes
Summary What does Article 6 of the RTS on incident reporting say?
This article sets out what financial entities must include when making a voluntary notification about a significant cyber threat — that is, a cyber threat that could potentially result in a major ICT-related incident, even if it has not yet materialised.
It complements the mandatory incident reporting framework established in earlier articles by addressing this distinct, pre-incident scenario.
The content requirements cover the nature and status of the threat, its potential impact, the classification criteria that would have applied had it escalated into a real incident, and any actions taken or notifications made to other parties.
Important points:
- Include the classification criteria from Delegated Regulation (EU) 2024/1772 that would have triggered a major incident report, treating the voluntary notification as a hypothetical major incident assessment.
- Provide details on the potential impact of the significant cyber threat on your financial entity, its clients, and financial counterparts.
- Notify whether the significant cyber threat has been reported to other financial entities or authorities, ensuring transparency across the broader reporting landscape.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Le contenu de la notification volontaire en ce qui concerne les cybermenaces importantes visée à l’article 19, paragraphe 2, du règlement (UE) 2022/2554 couvre l’ensemble des éléments suivants:
des informations générales sur l’entité financière notifiante, conformément à l’article 1er;
la date et l’heure de détection de la cybermenace importante et de tout autre horodatage pertinent lié à cette dernière;
une description de la cybermenace importante;
des informations sur l’incidence potentielle de la cybermenace importante sur l’entité financière, ses clients ou ses contreparties financières;
les critères de classification susceptibles d’avoir été à l’origine d’un rapport d’incident majeur prévus aux articles 1er à 8 du règlement délégué (UE) 2024/1772 en cas de matérialisation de la cybermenace;
des informations sur la situation de la cybermenace importante et sur tout changement dans l’activité de la menace;
le cas échéant, une description des mesures prises par l’entité financière pour empêcher la matérialisation des cybermenaces importantes;
des informations sur toute notification de la cybermenace importante à d’autres entités ou autorités financières;
le cas échéant, des informations sur les indicateurs de compromis;
le cas échéant, toute autre information pertinente.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
incident opérationnel ou de sécurité majeur lié au paiement
(En. major operational or security payment-related incident)
Definition
cybermenace
(En. cyber threat)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
incident opérationnel ou de sécurité lié au paiement
(En. operational or security payment-related incident)
Definition
cybermenace importante
(En. significant cyber threat)
Definition
incident majeur lié aux TIC
(En. major ICT-related incident)
Definition
fonction critique ou importante
(En. critical or important function)