Przepisy Rozporządzenia DORA przewidują wyłączenie obowiązku zgłaszania incydentów zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/2366 (dyrektywa PSD2) w stosunku do dostawców usług płatniczych objętych zakresem stosowania Rozporządzenia DORA. Wskazuje na to art. 23 Rozporządzenia DORA, zgodnie z którym wymogi określone w rozdziale III tego Rozporządzenia mają również zastosowanie do incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami oraz do poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami, w przypadku gdy dotyczą one instytucji kredytowych, instytucji płatniczych, dostawców świadczących usługę dostępu do informacji o rachunku i instytucji pieniądza elektronicznego.

Tego rodzaju założenie potwierdza także motyw 23 Rozporządzenia DORA, w świetle którego instytucje kredytowe, instytucje pieniądza elektronicznego, instytucje płatnicze i dostawcy świadczący usługę dostępu do informacji o rachunku objęci wymogiem raportowania incydentów na gruncie dyrektywy PSD2, wszelkie incydenty operacyjne lub incydenty w zakresie bezpieczeństwa związane z płatnościami, które wcześniej były przez nich zgłaszane zgodnie z dyrektywą PSD2, powinni zgłaszać zgodnie z Rozporządzeniem DORA od daty rozpoczęcia jego stosowania. Rozwiązanie takie ma na celu zmniejszenie obciążenia administracyjnego i wyeliminowanie potencjalnie powielających się obowiązków w zakresie zgłaszania incydentów w przypadku niektórych podmiotów finansowych (prowadzących działalność w zakresie usług płatniczych).

Zgodnie z art. 3 pkt 10 Rozporządzenia DORA przez poważny incydent związany z ICT należy rozumieć incydent związany z ICT o dużym, negatywnym wpływie na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego. W definicji tej pojawia się odniesienie do terminu „incydent związany z ICT”, który w art. 3 pkt 8 Rozporządzenia DORA definiowany jest jako pojedyncze zdarzenie lub seria powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które zagrażają bezpieczeństwu sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy.

• liczbę lub znaczenie klientów lub kontrahentów finansowych oraz, w stosownych przypadkach, kwotę lub liczbę transakcji, których dotyczy incydent związany z ICT, oraz to, czy taki incydent spowodował skutki reputacyjne,
• czas trwania incydentu związanego z ICT, w tym przerwę w świadczeniu usług,
• zasięg geograficzny incydentu związanego z ICT, w szczególności jeżeli dotyczy on więcej niż dwóch państw członkowskich,
• utratę danych w wyniku incydentu związanego z ICT w kontekście dostępności, autentyczności, integralności lub poufności danych,
• krytyczność usług, których dotyczy incydent związany z ICT, w tym transakcji i operacji podmiotu finansowego, a także
• skutki gospodarcze incydentu związanego z ICT, w szczególności bezpośrednie i pośrednie koszty i straty, zarówno w kategoriach bezwzględnych, jak i względnych.

W art. 18 ust. 3 lit a Rozporządzenia DORA przewidziano, że doprecyzowanie wymienionych kryteriów, w tym określenie progów istotności do celów ustalania poważnych incydentów związanych z ICT, następuje w drodze wydania regulacyjnych standardów technicznych, jako aktu wykonawczego do Rozporządzenia DORA. Przepis ten stanowi, że omawiane regulacyjne standardy techniczne będą stosownie do przypadku odnosić się także do poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami. Z tego względu ich treść będzie istotna również w zakresie klasyfikowania tego rodzaju incydentów przez podmioty finansowe raportujące omawiane incydenty z zastosowaniem przepisów Rozporządzenia DORA (zgodnie z art. 23).

Część wymogów przewidzianych w rozdziale III Rozporządzenia DORA dotyczy znaczących cyberzagrożeń. 

Wymóg rejestrowania przez podmioty finansowe znaczących cyberzagrożeń wynika z art. 17 ust. 2 Rozporządzenia DORA. Przepis ten wskazuje, że „Podmioty finansowe rejestrują wszystkie incydenty związane z ICT i znaczące cyberzagrożenia (…)”. 

• krytyczność usług zagrożonych, w tym narażonych transakcji i operacji podmiotu finansowego,
• liczba lub znaczenie klientów lub kontrahentów finansowych, oraz 

• zasięg geograficzny zagrożonych obszarów. 

W art. 18 ust. 3 Rozporządzenia DORA przewidziano, że doprecyzowanie tych kryteriów, w tym określenie wysokich progów istotności do celów ustalania znaczących cyberzagrożeń, następuje w ramach regulacyjnych standardów technicznych, jako aktu wykonawczego do Rozporządzenia DORA.

Jednocześnie, w świetle art. 19 ust. 2 Rozporządzenia DORA, podmioty finansowe mogą przekazywać informacje o znaczących cyberzagrożeniach do właściwego organu (w Polsce do KNF), jeżeli uznają dane zagrożenie za istotne dla systemu finansowego, użytkowników usług lub klientów. 

W odróżnieniu od poważnych incydentów związanych z ICT, wymogi Rozporządzenia DORA dotyczące znaczących cyberzagrożeń będą dotyczyły okoliczności, zdarzeń lub działań, które mają charakter potencjalny, o ile spełniają one kryteria znaczącego cyberzagrożenia. Na taki potencjalny charakter znaczących cyberzagrożeń wskazuje sama definicja znaczącego cyberzagrożenia zawarta w art. 3 pkt 13 Rozporządzenia DORA. Zgodnie z jej treścią „znaczące cyberzagrożenie” oznacza więc cyberzagrożenie, którego charakterystyka techniczna wskazuje, że potencjalnie może spowodować poważny incydent związany z ICT lub poważny incydent operacyjny lub poważny incydent w zakresie bezpieczeństwa związany z płatnościami.