Source: OJ L, 2024/1772, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT-related incidents
- RTS on incident classification
Artikel 10 Höga väsentlighetströsklar för att fastställa betydande cyberhot
Summary What does Article 10 of the RTS on incident classification say?
This article defines the conditions under which a cyber threat is considered "significant," which is the trigger for voluntary notification obligations under Article 18(2) of DORA.
It builds directly on the materiality thresholds established in Articles 6 and 9 of this Regulation, effectively linking the threat notification framework to the same benchmarks used for classifying actual major incidents.
All three conditions must be met simultaneously: the threat must have the potential to impact critical functions or other parties, it must carry a high probability of materialising, and it must be capable of meeting certain materiality thresholds if it were to materialise.
Important points:
- Assess whether a cyber threat meets all three cumulative conditions before classifying it as significant and triggering notification obligations.
- The probability of materialisation must be evaluated using available information on system vulnerabilities, threat actor capabilities and intent, and the persistence of the threat.
- The materiality thresholds relating to reputational impact, duration, data losses, and economic impact may also be considered, but are not mandatory elements of the assessment.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Vid tillämpningen av artikel 18.2 i förordning (EU) 2022/2554 ska ett cyberhot anses vara betydande om samtliga följande villkor är uppfyllda:
Cyberhotet, om det materialiseras, kan påverka eller kan ha påverkat kritiska eller viktiga funktioner hos den finansiella entiteten, eller kan påverka andra finansiella entiteter, tredjepartsleverantörer, kunder eller finansiella motparter, baserat på information som är tillgänglig för den finansiella entiteten;
Cyberhotet har en hög sannolikhet att materialiseras hos den finansiella entiteten eller hos andra finansiella entiteter, med beaktande av åtminstone följande faktorer:
Tillämpliga risker i samband med det cyberhot som avses i led a, inbegripet potentiella sårbarheter i den finansiella entitetens system som kan utnyttjas;
Hotaktörernas kapacitet och avsikter i den utsträckning som den finansiella entiteten känner till dem.
Hotets varaktighet och all samlad kunskap om incidenter som har påverkat den finansiella entiteten eller dess tredjepartsleverantör, kunder eller finansiella motparter.
Cyberhotet kan, om det materialiseras, uppfylla något av följande:
Kriteriet avseende tjänsternas kritikalitet enligt artikel 18.1 e i förordning (EU) 2022/2554, i enlighet med artikel 6 i den här förordningen.
Väsentlighetströskeln enligt artikel 9.1.
Väsentlighetströskeln enligt artikel 9.4.
Om den finansiella entiteten, beroende på typen av cyberhot och tillgänglig information, drar slutsatsen att de väsentlighetströsklar som anges i artikel 9.2, 9.3, 9.5 och 9.6 skulle kunna uppfyllas, får dessa trösklar också beaktas.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sårbarhet
(En. vulnerability)
Definition
cyberhot
(En. cyber threat)