RTS (EU) 2025/301 – Incident Reporting
| Eigenschaft | Wert |
|---|---|
| Nummer | Delegierte Verordnung (EU) 2025/301 |
| DORA-Artikel | Art. 20(1)(a) |
| Pillar | P2 – Incident Reporting |
| Adoption | 23.10.2024 |
| Veröffentlichung | 20.02.2025 |
| Anwendbar seit | 17.01.2025 |
| EUR-Lex | Link |
Inhalt
Definiert Inhalte und Fristen der 3-stufigen Meldekette:
| Stufe | Frist | Pflichtinhalte |
|---|---|---|
| Erstmeldung | 4h nach Klassifizierung (max. 24h nach Erkennung) | Wer, Was, Wann, erste Einschätzung |
| Zwischenmeldung | 72h nach Erstmeldung | Status-Update, Impact-Analyse, Aktionsplan |
| Abschlussmeldung | 1 Monat nach Erstmeldung | Root Cause, Lessons Learned, Maßnahmen |
Sowie die freiwillige Meldung signifikanter Cyberbedrohungen.
Fristversäumnis = DORA-Verstoß → Sanktionen gemäß Art. 50–52 DORA i.V.m. nationaler Umsetzung (FinmadiG).
→ Details: P2: Incident Reporting | Incident Pipeline