Art. 5 Tidsfrister för en första anmälan och för del- och slutrapporter | RTS on incident reporting | DORA

This article establishes the strict deadlines by which financial entities must submit each stage of their major ICT incident reporting, directly supporting the three-part reporting structure set out in Articles 2, 3, and 4.

It works through the timeline from initial notification through to the final report, and also addresses edge cases such as late classification of an incident as major, inability to meet deadlines, and whether weekend or bank holiday extensions apply.

Important points:

Submit your initial notification within four hours of classifying an incident as major, and no later than 24 hours from first becoming aware of it.
The weekend and bank holiday deadline extension is not available to credit institutions, central counterparties, operators of trading venues, or entities classified as essential or important under Directive (EU) 2022/2555.
Competent authorities may remove the weekend and bank holiday extension for other financial entities they consider significant or systemic at national or Union level, but only for incidents reported after they have formally notified those entities of this decision.

1. Finansiella entiteter ska lämna in den första anmälan och de del- och slutrapporter som avses i artikel 19.4 a, b och c i förordning (EU) 2022/2554 inom följande tidsfrister:
  1. För den första rapporten: Så tidigt som möjligt, men under alla omständigheter, inom fyra timmar från det att den IKT-relaterade incidenten klassificerats som en allvarlig IKT-relaterad incident och senast 24 timmar efter det att den finansiella entiteten har blivit medveten om den IKT-relaterade incidenten.
  2. För delrapporten: Senast inom 72 timmar från det att den första anmälan lämnades in, även om statusen för incidenten eller hanteringen av den inte har förändrats på det sätt som avses i artikel 19.4 b i förordning (EU) 2022/2554. Finansiella entiteter ska utan onödigt dröjsmål och under alla omständigheter så snart normal verksamhet har återupptagits lämna in en uppdaterad delrapport.
  3. För slutrapporten: Senast en månad efter antingen inlämnandet av delrapporten eller, i tillämpliga fall, efter den senaste uppdaterade delrapporten.
1. Om den finansiella entiteten inte inom 24 timmar från den tidpunkt då den blev medveten om den IKT-relaterade incidenten har klassificerat den som allvarlig, men i ett senare skede klassificerar den som allvarlig, ska den finansiella entiteten lämna in en första anmälan inom fyra timmar från det att den IKT-relaterade incidenten klassificerades som en allvarlig incident.
1. Finansiella entiteter som inte kan lämna in en första anmälan, delrapport eller slutrapport inom de tidsfrister som anges i punkt 1 ska informera den behöriga myndigheten om detta utan onödigt dröjsmål, men inte senare än respektive tidsfrister för inlämnande av anmälan eller rapporten, samt redogöra för skälen till förseningen.
1. Om tidsfristen för inlämnande av en första anmälan, delrapport eller slutrapport löper ut under ett veckoslut eller på en helgdag i den rapporterande finansiella entitetens medlemsstat får den finansiella entiteten lämna in en första anmälan, delrapport eller slutrapport senast kl. 12.00 närmast påföljande arbetsdag.
1. Punkt 4 ska inte tillämpas på inlämning av en första anmälan eller delrapport från kreditinstitut, centrala motparter, operatörer av handelsplatser och andra finansiella entiteter som bedömts som väsentliga eller viktiga entiteter i enlighet med artikel 3 i direktiv (EU) 2022/2555.
1. Behöriga myndigheter får besluta att punkt 4 inte ska gälla inlämnandet av en första anmälan eller en delrapport av andra finansiella entiteter än de som avses i punkt 5 och som är betydande eller systemviktiga för den finansiella sektorn på nationell nivå eller unionsnivå. Behöriga myndigheter ska meddela identifierade finansiella entiteter sitt beslut. Den behöriga myndighetens beslut ska endast gälla incidenter som rapporteras efter det datum då den behöriga myndigheten meddelade identifierade finansiella entiteter sitt beslut.