Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 22 Återkoppling från tillsynsmyndigheterna
Summary What does Article 22 of the DORA regulation say?
This article sits within the incident reporting framework established by Article 19, and deals with what happens after financial entities submit their incident reports.
It covers two distinct layers of response: first, how competent authorities should engage with financial entities following receipt of incident notifications; and second, how the ESAs should use aggregated incident data to produce broader sector-wide intelligence.
Crucially, the article makes clear that any feedback or guidance from competent authorities does not shift responsibility away from the financial entity itself.
Important points:
- Competent authorities are required to acknowledge receipt of incident reports submitted under Article 19(4) and may provide feedback, anonymised threat intelligence, or guidance on remediation — but financial entities retain full responsibility for handling ICT-related incidents regardless.
- The ESAs are required to publish a yearly report through the Joint Committee covering major ICT-related incidents on an anonymised and aggregated basis, including their nature, operational impact, remedial actions taken, and costs incurred.
- The ESAs must also issue warnings and produce high-level statistics to support ICT threat and vulnerability assessments across the financial sector.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Utan att det påverkar de tekniska uppgifterna, råden eller åtgärderna och efterföljande uppföljning, som i tillämpliga fall kan tillhandahållas i enlighet med nationell rätt, av CSIRT-enheterna enligt direktiv (EU) 2022/2555, ska den behöriga myndigheten, efter mottagandet av den första anmälan och av varje rapport som avses i artikel 19.4, bekräfta mottagandet och får, när så är möjligt, skyndsamt tillhandahålla relevant och proportionell återkoppling eller vägledning på hög nivå till den finansiella entiteten, särskilt genom att göra tillgänglig all eventuell relevant anonymiserad information och underrättelser om liknande hot, och får diskutera åtgärder som tillämpas på finansiell entitetsnivå, och sätt att minimera och mildra de negativa effekterna i den finansiella sektorn. Utan att det påverkar den återkoppling som mottagits från tillsynsmyndigheterna ska finansiella entiteter förbli fullt ansvariga för hanteringen av och konsekvenserna av IKT-relaterade incidenter som rapporteras enligt artikel 19.1.
De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén årligen lämna anonymiserade och aggregerade rapporter om allvarliga IKT-relaterade incidenter, vars detaljer ska komma från behöriga myndigheter i enlighet med artikel 19.6, med angivande av åtminstone antalet allvarliga IKT-relaterade incidenter och deras art, inverkan på finansiella entiteters eller kunders verksamhet, vidtagna avhjälpande åtgärder och uppkomna kostnader.
De europeiska tillsynsmyndigheterna ska utfärda varningar och ta fram statistik på hög nivå till stöd för IKT-hot- och sårbarhetsbedömningar.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
den gemensamma kommittén
(En. Joint Committee)