Art. 7 Déclaration agrégée | ITS on templates for incident reporting | DORA

1. Un prestataire tiers de services auprès duquel des obligations de déclaration ont été externalisées conformément à l’article 19, paragraphe 5, du règlement (UE) 2022/2554 peut utiliser le modèle figurant à l’annexe I du présent règlement pour fournir, dans une seule et même notification ou un seul et même rapport, des informations agrégées sur un incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; ayant une incidence sur plusieurs entités financières, et soumettre cette notification ou ce rapport à l’autorité compétente au nom de toutes les entités financières touchées, pour autant que toutes les conditions suivantes soient réunies:
  1. l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; devant être déclaré est imputable à un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; ou est causé par celui-ci;
  2. ce prestataire tiers de services fournit le service TIC concerné à plus d’une entité financière ou à un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;;
  3. l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; est classé comme majeur par chaque entité financière mentionnée dans la notification agrégée ou le rapport agrégé;
  4. l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; touche des entités financières au sein d’un seul État membre et le rapport agrégé concerne des entités financières qui sont soumises à la surveillance de la même autorité compétente;
  5. les autorités compétentes ont explicitement autorisé ce type d’entités financières à agréger leurs déclarations.
1. Le paragraphe 1 ne s’applique pas aux établissements de crédit jugés d’importance significative au sens de l’article 2, point 16), du règlement (UE) n^o 468/2014 de la Banque centrale européenne(⁸)Règlement (UE) n^o 468/2014 de la Banque centrale européenne du 16 avril 2014 établissant le cadre de la coopération au sein du mécanisme de surveillance unique entre la Banque centrale européenne, les autorités compétentes nationales et les autorités désignées nationales (le «règlement-cadre MSU») (BCE/2014/17) (JO L 141 du 14.5.2014, p. 1, ELI: http://data.europa.eu/eli/reg/2014/468/oj)., aux opérateurs de plates-formes de négociation et aux contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) n^o 648/2012;, qui utilisent uniquement le modèle figurant à l’annexe I pour soumettre individuellement à leur autorité compétente des notifications ou des rapports d’incidents majeurs liés aux TIC.
1. Lorsque les autorités compétentes exigent des informations relatives à l’incidence individuelle de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; sur une seule et même entité financière, à la demande de l’autorité compétente, l’entité financière soumet une notification individuelle ou un rapport sur l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.