Art. 9 Väsentlighetströsklar för att fastställa allvarliga incidenter | RTS on incident classification | DORA

This article is the quantitative and qualitative backbone of the incident classification framework, directly supporting Article 8, which sets out when an incident qualifies as a major incident.

Article 9 translates the broad criteria introduced in Article 18(1) of DORA into concrete, measurable thresholds across six distinct dimensions: clients and transactions affected, reputational impact, duration and service downtime, geographical spread, data losses, and economic impact.

Together, these thresholds give financial entities a clear set of triggers to determine when an incident crosses the line into major incident territory.

Important points:

Assess each of the six materiality thresholds against your incident to determine whether a major incident reporting obligation under Article 8 is triggered.
Where exact figures cannot be determined, estimate the number of affected clients, financial counterparts, or transactions using data from comparable reference periods.
Key hard thresholds to be aware of include: more than 10% or 100,000 affected clients, service downtime exceeding 2 hours for critical or important functions, and costs or losses exceeding 100,000 euro.

1. Väsentlighetströskeln för kriteriet kunder, finansiella motparter och transaktioner är uppfylld om något av följande villkor är uppfyllt:
  1. Antalet kunder som påverkas är högre än 10 % av alla kunder som använder den berörda tjänsten.
  2. Antalet kunder som påverkas som använder den berörda tjänsten är högre än 100 000.
  3. Antalet finansiella motparter som påverkas är högre än 30 % av alla finansiella motparter som bedriver verksamhet i samband med tillhandahållandet av den berörda tjänsten.
  4. Antalet transaktioner som påverkas är högre än 10 % av det dagliga genomsnittliga antal transaktioner som utförs av den finansiella entiteten i samband med den berörda tjänsten.
  5. Antalet berörda transaktioner överstiger 10 % av det dagliga genomsnittsvärdet av de transaktioner som utförs av den finansiella entiteten i samband med den berörda tjänsten.
  6. Kunder eller finansiella motparter som har identifierats som relevanta i enlighet med artikel 1.3 har påverkats.
2. Om det faktiska antalet kunder eller finansiella motparter som påverkas eller det faktiska antalet eller den faktiska mängden transaktioner som påverkas inte kan fastställas, ska den finansiella entiteten uppskatta dessa på grundval av tillgängliga uppgifter från jämförbara referensperioder.
1. Väsentlighetströskeln för kriteriet påverkan på anseendet är uppfylld om något av villkoren i artikel 2.1 a–d är uppfyllt.
1. Väsentlighetströskeln för kriteriet varaktighet och driftstopp är uppfylld om något av följande villkor är uppfyllt:
  1. Incidentens varaktighet är längre än 24 timmar.
  2. Tiden för driftstoppet är längre än 2 timmar för IKT-tjänster som stöder kritiska eller viktiga funktioner.
1. Väsentlighetströskeln för kriteriet geografisk spridning är uppfylld om incidenten har en inverkan i två eller flera medlemsstater i enlighet med artikel 4.
1. Väsentlighetströskeln för kriteriet dataförluster är uppfylld om något av följande villkor är uppfyllt:
  1. Varje inverkan som avses i artikel 5 på uppgifternas tillgänglighet, äkthet, integritet eller konfidentialitet har eller kommer att ha en negativ inverkan på genomförandet av den finansiella entitetens affärsmål eller dess förmåga att uppfylla lagstadgade krav.
  2. All framgångsrik, skadlig och obehörig åtkomst som inte omfattas av led a till nätverks- och informationssystem, där sådan åtkomst kan leda till dataförluster.
1. Väsentlighetströskeln för kriteriet ekonomiska effekter är uppfylld om den finansiella entitetens kostnader och förluster på grund av incidenten har överstigit eller sannolikt kommer att överstiga 100 000 euro.