Art. 18 Classification des incidents liés aux TIC et des cybermenaces | DORA regulation | DORA

1. Les entités financières classent les incidents liés aux TIC et déterminent leur incidence sur la base des critères suivants:
  1. le nombre et/ou l’importance des clients ou des contreparties financières touchés et, le cas échéant, le volume ou le nombre de transactions touchées par l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière;, et si cet incident a porté atteinte à la réputation;
  2. la durée de l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière;, y compris les interruptions de service;
  3. la répartition géographique en ce qui concerne les zones touchées par l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière;, en particulier si celui-ci touche plus de deux États membres;
  4. les pertes de données occasionnées par l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; en ce qui concerne la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données;
  5. la criticité des services touchés, y compris les transactions et les opérations de l’entité financière;
  6. les conséquences économiques, en particulier les coûts et pertes directs et indirects, en termes absolus et relatifs, de l’incident lié aux TIC.
1. Les entités financières classent les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; comme significatives en fonction de la criticité des services à risque, y compris des transactions et des opérations de l’entité financière, du nombre et/ou de l’importance des clients ou des contreparties financières ciblés et de la répartition géographique des zones à risque.
1. Les AES élaborent, par l’intermédiaire du comité mixte: le comité visé à l’article 54 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010; et en concertation avec la BCE et l’ENISA, des projets communs de normes techniques de réglementation qui précisent les éléments suivants:
  1. les critères énoncés au paragraphe 1, y compris les seuils d’importance significative pour déterminer les incidents majeurs liés aux TIC ou, le cas échéant, les incidents opérationnels ou de sécurité majeurs liés au paiement, qui sont soumis à l’obligation de déclaration prévue à l’article 19, paragraphe 1;
  2. les critères que les autorités compétentes doivent appliquer pour évaluer si des incidents majeurs liés aux TIC ou, le cas échéant, des incidents opérationnels ou de sécurité majeurs liés au paiement, sont pertinents pour les autorités compétentes concernées des autres États membres, et les détails des rapports d’incidents majeurs liés aux TIC ou, le cas échéant, d’incidents opérationnels ou de sécurité majeurs liés au paiement, à partager avec les autres autorités compétentes conformément à l’article 19, paragraphes 6 et 7;
  3. les critères énoncés au paragraphe 2 du présent article, y compris les seuils d’importance significative élevés pour déterminer les cybermenaces importantes: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement;.
1. Lors de l’élaboration des projets communs de normes techniques de réglementation visés au paragraphe 3 du présent article, les AES tiennent compte des critères énoncés à l’article 4, paragraphe 2, ainsi que des normes, orientations et spécifications internationales élaborées et publiées par l’ENISA, y compris, le cas échéant, des spécifications relatives à d’autres secteurs économiques. Aux fins de l’application des critères énoncés à l’article 4, paragraphe 2, les AES tiennent dûment compte de la nécessité pour les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; et les petites et moyennes entreprises: une entité financière qui n’est pas une petite entreprise et qui emploie moins de 250 personnes et dont le chiffre d’affaires annuel n’excède pas 50 millions d’euros et/ou dont le bilan annuel n’excède pas 43 millions d’euros; de mobiliser des ressources et des capacités suffisantes pour garantir une gestion rapide des incidents liés aux TIC.
2. Les AES soumettent ces projets communs de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.
3. Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au paragraphe 3 est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.