Art. 9 Väsentlighetströsklar för att fastställa allvarliga incidenter | RTS on incident classification | DORA

1. Väsentlighetströskeln för kriteriet kunder, finansiella motparter och transaktioner är uppfylld om något av följande villkor är uppfyllt:
  1. Antalet kunder som påverkas är högre än 10 % av alla kunder som använder den berörda tjänsten.
  2. Antalet kunder som påverkas som använder den berörda tjänsten är högre än100 000.
  3. Antalet finansiella motparter som påverkas är högre än 30 % av alla finansiella motparter som bedriver verksamhet i samband med tillhandahållandet av den berörda tjänsten.
  4. Antalet transaktioner som påverkas är högre än 10 % av det dagliga genomsnittliga antal transaktioner som utförs av den finansiella entiteten i samband med den berörda tjänsten.
  5. Antalet berörda transaktioner överstiger 10 % av det dagliga genomsnittsvärdet av de transaktioner som utförs av den finansiella entiteten i samband med den berörda tjänsten.
  6. Kunder eller finansiella motparter som har identifierats som relevanta i enlighet med artikel 1.3 har påverkats.
2. Om det faktiska antalet kunder eller finansiella motparter som påverkas eller det faktiska antalet eller den faktiska mängden transaktioner som påverkas inte kan fastställas, ska den finansiella entiteten uppskatta dessa på grundval av tillgängliga uppgifter från jämförbara referensperioder.
1. Väsentlighetströskeln för kriteriet påverkan på anseendet är uppfylld om något av villkoren i artikel 2.1 a–d är uppfyllt.
1. Väsentlighetströskeln för kriteriet varaktighet och driftstopp är uppfylld om något av följande villkor är uppfyllt:
  1. Incidentens varaktighet är längre än 24 timmar.
  2. Tiden för driftstoppet är längre än 2 timmar för IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner.
1. Väsentlighetströskeln för kriteriet geografisk spridning är uppfylld om incidenten har en inverkan i två eller flera medlemsstater i enlighet med artikel 4.
1. Väsentlighetströskeln för kriteriet dataförluster är uppfylld om något av följande villkor är uppfyllt:
  1. Varje inverkan som avses i artikel 5 på uppgifternas tillgänglighet, äkthet, integritet eller konfidentialitet har eller kommer att ha en negativ inverkan på genomförandet av den finansiella entitetens affärsmål eller dess förmåga att uppfylla lagstadgade krav.
  2. All framgångsrik, skadlig och obehörig åtkomst som inte omfattas av led a till nätverks- och informationssystemett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555., där sådan åtkomst kan leda till dataförluster.
1. Väsentlighetströskeln för kriteriet ekonomiska effekter är uppfylld om den finansiella entitetens kostnader och förluster på grund av incidenten har överstigit eller sannolikt kommer att överstiga100 000 euro.