Art. 7 Ekonomiska effekter | RTS on incident classification | DORA

This article defines how financial entities must calculate the economic impact of an ICT incident, feeding directly into the broader incident classification criteria set out in Article 18(1) of DORA.

It draws a clear boundary between what counts as incident-related costs and what does not, ensuring that only genuine losses stemming from the incident are factored into the assessment.

Notably, calculations are made without accounting for any financial recoveries, meaning the gross impact is what matters here.

Important points:

Calculate economic impact by summing all direct and indirect costs and losses from the incident — covering everything from stolen assets and staff costs to advisory fees and forgone revenues.
Exclude routine business costs such as general maintenance, post-incident upgrades, and insurance premiums from the calculation.
Where actual costs cannot be determined, estimate the amounts based on data available at the time of reporting.

1. För att fastställa de ekonomiska effekterna av incidenten enligt artikel 18.1 f i förordning (EU) 2022/2554 ska finansiella entiteter, utan att redovisa finansiella återvinningar, beakta följande typer av direkta och indirekta kostnader och förluster som de har ådragit sig till följd av incidenten:
  1. Exproprierade medel eller finansiella tillgångar som de är ansvariga för, inbegripet tillgångar som förlorats genom stöld.
  2. Kostnader för utbyte eller omlokalisering av programvara, maskinvara eller infrastruktur.
  3. Personalkostnader, inklusive kostnader i samband med ersättning eller omplacering av personal, rekrytering av extra personal, ersättning för övertid och återställande av förlorad eller försämrad kompetens.
  4. Avgifter på grund av att avtalsförpliktelserna inte har fullgjorts.
  5. Kostnader för gottgörelse och ersättning till kunder.
  6. Förluster på grund av uteblivna intäkter.
  7. Kostnader för intern och extern kommunikation.
  8. Rådgivningskostnader, inklusive kostnader i samband med juridisk rådgivning, kriminaltekniska tjänster och saneringstjänster.
1. De kostnader och förluster som avses i punkt 1 ska inte omfatta kostnader som är nödvändiga för den dagliga driften av verksamheten, särskilt följande:
  1. Kostnader för allmänt underhåll av infrastruktur, utrustning, hårdvara och programvara samt kostnader för att hålla personalens kompetens uppdaterad.
  2. Interna eller externa kostnader för att förbättra verksamheten efter incidenten, inklusive uppgraderingar, förbättringar och riskbedömningsinitiativ.
  3. Försäkringspremier.
1. Finansiella entiteter ska beräkna kostnads- och förlustbeloppen på grundval av uppgifter som är tillgängliga vid tidpunkten för rapporteringen. Om de faktiska kostnaderna och förlusterna inte kan fastställas ska de finansiella entiteterna uppskatta dessa belopp.
1. Vid bedömningen av de ekonomiska konsekvenserna av incidenten ska de finansiella entiteterna summera de kostnader och förluster som avses i punkt 1.