Beta

Source: OJ L, 2025/301, 20.2.2025

Current language: FR

Article 5 Délais pour la notification initiale et pour les rapports intermédiaire et final

    1. Les entités financières soumettent la notification initiale et les rapports intermédiaire et final visés à l’article 19, paragraphe 4, points a), b) et c), du règlement (UE) 2022/2554 dans les délais suivants:

      1. pour le rapport initial: le plus tôt possible, mais en tout état de cause, dans un délai de quatre heures à compter de la classification de l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; comme majeur et au plus tard 24 heures à compter du moment où l’entité financière en a eu connaissance;

      2. pour le rapport intermédiaire: au plus tard dans un délai de 72 heures à compter de la soumission de la notification initiale, même si la situation ou le traitement de l’incident n’ont pas changé conformément à l’article 19, paragraphe 4, point b), du règlement (UE) 2022/2554. Les entités financières soumettent sans retard injustifié un rapport intermédiaire actualisé et, en tout état de cause, lorsque les activités régulières ont repris;

      3. pour le rapport final: au plus tard un mois après la soumission du rapport intermédiaire ou, le cas échéant, après la dernière mise à jour du rapport intermédiaire.

    1. Lorsque l’entité financière n’a pas classé un incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; comme majeur dans un délai de 24 heures à compter du moment où elle en a eu connaissance, mais qu’elle classe cet incident comme majeur à un stade ultérieur, elle soumet la notification initiale dans un délai de quatre heures à compter de la classification de l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; comme majeur.

    1. Les entités financières qui ne sont pas en mesure de soumettre la notification initiale, le rapport intermédiaire ou le rapport final dans les délais fixés au paragraphe 1 en informent l’autorité compétente dans les meilleurs délais, mais au plus tard dans les délais respectifs pour la soumission de la notification ou du rapport, et en expliquent les raisons.

    1. Lorsque le délai de soumission d’une notification initiale, d’un rapport intermédiaire ou d’un rapport final expire un jour de week-end ou un jour férié dans l’État membre de l’entité financière déclarante, l’entité financière peut soumettre la notification initiale, le rapport intermédiaire ou le rapport final au plus tard à midi le jour ouvrable suivant.

    1. Le paragraphe 4 ne s’applique pas à la soumission d’une notification initiale ou d’un rapport intermédiaire par les établissements de crédit, les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012;, les opérateurs de plates-formes de négociation et d’autres entités financières considérées comme des entités essentielles ou importantes conformément à l’article 3 de la directive (UE) 2022/2555.

    1. Les autorités compétentes peuvent décider que le paragraphe 4 ne s’applique pas à la soumission d’une notification initiale ou d’un rapport intermédiaire par les entités financières, autres que celles visées au paragraphe 5, qui sont classées comme importantes ou présentent un caractère systémique pour le secteur financier au niveau national ou de l’Union. Les autorités compétentes notifient leur décision aux entités financières concernées. La décision de l’autorité compétente ne s’applique qu’en ce qui concerne les incidents déclarés après la date de la notification de la décision par l’autorité compétente aux entités financières concernées.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod