Source: OJ L 333, 27.12.2022, p. 1–79

Current language: SV

Artikel 18 Klassificering av IKT-relaterade incidenter och cyberhot

Summary What does Article 18 of the DORA regulation say?

This article establishes the classification framework that financial entities must use when assessing ICT-related incidents and cyber threats.

It feeds directly into the reporting obligations set out in Article 19, as the severity classifications determined here dictate what must be reported to competent authorities.

The article sets out concrete criteria for judging the impact of an incident — such as how many clients are affected, how long the disruption lasts, whether multiple Member States are involved, and what economic damage results.

Separately, it requires financial entities to classify cyber threats as significant using a comparable but distinct set of criteria.

The ESAs are then tasked with developing regulatory technical standards to sharpen these classifications further, including by setting materiality thresholds.

Important points:

  • Classify ICT-related incidents using six defined criteria covering client impact, duration, geographical spread, data loss, service criticality, and economic damage.
  • Classify cyber threats as significant based on the criticality of services at risk, clients or counterparts targeted, and geographical spread.
  • The ESAs are required to develop regulatory technical standards to further specify the classification criteria and materiality thresholds, including consideration of the resource constraints of microenterprises and SMEs.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Finansiella entiteter ska klassificera IKT-relaterade incidenter och fastställa deras inverkan baserat på följande kriterier:

      1. Antalet och/eller betydelsen av kunder eller finansiella motparter som påverkas, och i tillämpliga fall, mängden eller antalet transaktioner som påverkas av den IKT-relaterade incidenten, och om anseendet har påverkats av den IKT-relaterade incidenten.

      2. Den IKT-relaterade incidentens varaktighet, inklusive driftstopp.

      3. Den geografiska spridningen med avseende på de områden som påverkas av den IKT-relaterade incidenten, särskilt om den påverkar fler än två medlemsstater.

      4. De dataförluster som den IKT-relaterade incidenten medför, vad gäller tillgänglighet, äkthet, integritet eller konfidentialitet vad gäller datan

      5. De berörda tjänsternas kritikalitet, inbegripet den finansiella entitetens transaktioner och verksamhet.

      6. De ekonomiska effekterna, särskilt direkta och indirekta kostnader och förluster, av den IKT-relaterade incidenten i absoluta och relativa tal.

    1. Finansiella entiteter ska klassificera cyberhot som betydande baserat på de hotade tjänsternas kritikalitet, inbegripet den finansiella entitetens transaktioner och verksamhet, antalet och/eller betydelsen av kunder eller finansiella motparter som hotas och den geografiska spridningen av de hotade områdena.

    1. De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med ECB och Enisa, utarbeta gemensamma förslag till tekniska standarder för tillsyn som ytterligare specificerar följande:

      1. De kriterier som anges i punkt 1, inbegripet väsentlighetströsklar för att fastställa allvarliga IKT-relaterade incidenter eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter, som omfattas av rapporteringsskyldigheten i artikel 19.1.

      2. De kriterier som de behöriga myndigheterna ska tillämpa för att bedöma allvarliga IKT-relaterade incidenters eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenters eller säkerhetsincidenters relevans för de relevanta behöriga myndigheterna i andra medlemsstater och de detaljer i rapporter om allvarliga IKT-relaterade incidenter eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter som ska delas med andra behöriga myndigheter enligt artikel 19.6 och 19.7.

      3. De kriterier som anges i punkt 2 i denna artikel, inbegripet höga väsentlighetströsklar för att fastställa betydande cyberhot.

    1. När de europeiska tillsynsmyndigheterna utarbetar de gemensamma förslag till tekniska standarder för tillsyn som avses i punkt 3 i denna artikel ska de ta hänsyn till kriterierna i artikel 4.2 samt internationella standarder, riktlinjer och specifikationer som har utarbetats och offentliggjorts av Enisa, inbegripet, när så är lämpligt, specifikationer för andra ekonomiska sektorer. Vid tillämpningen av kriterierna i artikel 4.2 ska de europeiska tillsynsmyndigheterna vederbörligen beakta behovet av att mikroföretag och små och medelstora företag mobiliserar tillräckliga resurser och tillräcklig kapacitet för att säkerställa att IKT-relaterade incidenter hanteras snabbt.

    2. De europeiska tillsynsmyndigheterna ska överlämna dessa gemensamma förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

    3. Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i punkt 3 i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod