Art. 7 Aggregerad rapportering | ITS on templates for incident reporting | DORA

This article sets out the conditions under which a third-party service provider, having taken on outsourced reporting obligations under Article 6, may submit a single aggregated incident report on behalf of multiple financial entities.

It establishes a narrow permission for consolidated reporting, while carving out specific categories of financial entities that are explicitly excluded from this arrangement and must always report individually.

Important points:

Third-party service providers may submit one aggregated report for multiple financial entities only when five cumulative conditions are met, including that the incident originates from the third-party provider, all affected entities are in the same Member State under the same competent authority, and aggregated reporting has been explicitly permitted by that competent authority.
Significant credit institutions, operators of trading venues, and central counterparties are excluded from aggregated reporting and must always submit individual notifications to their competent authority.
Competent authorities retain the right to request an individual report from a financial entity at any time, even where an aggregated report has already been submitted on its behalf.

1. En tredjepartsleverantör till vilken rapporteringsskyldigheter har utkontrakterats enligt artikel 19.5 i förordning (EU) 2022/2554 får använda mallen i bilaga I till denna förordning för att tillhandahålla aggregerad information om en allvarlig IKT-relaterad incident som påverkar flera finansiella entiteter i en enda anmälan eller rapport och lämna in denna anmälan eller rapport till den behöriga myndigheten för alla berörda finansiella entiteters räkning, förutsatt att samtliga följande villkor är uppfyllda:
  1. Den allvarliga IKT-relaterade incident som ska rapporteras härrör från eller orsakas av en tredjepartsleverantör av IKT-tjänster.
  2. Tredjepartsleverantören tillhandahåller den relevanta IKT-tjänsten till mer än en finansiell entitet eller till en koncern.
  3. Den IKT-relaterade incidenten klassificeras som allvarlig av varje finansiell entitet som omfattas av den aggregerade anmälan eller rapporten.
  4. Den allvarliga IKT-relaterade incidenten påverkar finansiella entiteter inom en enda medlemsstat och den aggregerade rapporten avser finansiella entiteter som står under samma behöriga myndighets tillsyn.
  5. Behöriga myndigheter har uttryckligen tillåtit denna typ av finansiella entiteter att aggregera sin rapportering.
1. Punkt 1 ska inte tillämpas på kreditinstitut som anses vara betydande enligt artikel 2.16 i Europeiska centralbankens förordning (EU) nr 468/2014(⁸), operatörer av handelsplatser och centrala motparter. De ska endast använda mallen i bilaga I för att lämna in anmälningar eller rapporter om allvarliga IKT-relaterade incidenter individuellt till sin behöriga myndighet.
1. Om de behöriga myndigheterna behöver information om den allvarliga IKT-relaterade incidentens enskilda effekter på en specifik finansiell entitet ska den finansiella entiteten på begäran av den behöriga myndigheten lämna in en individuell anmälan eller rapport om den allvarliga IKT-relaterade incidenten.