Source: OJ L 333, 27.12.2022, pp. 153–163

Current language: DE

Artikel 4 Änderungen der Richtlinie 2013/36/EU

Summary What does Article 4 of the DORA directive say?

Article 4 amends Directive 2013/36/EU (the Capital Requirements Directive) to align it with DORA.

It makes several targeted changes across different provisions of that Directive, collectively ensuring that institutions' governance, business continuity, supervisory review, and third-party oversight obligations now explicitly incorporate and cross-reference DORA's requirements.

Rather than creating new standalone rules, this article effectively plugs DORA into the existing CRD framework.

Important points:

  • Institutions must set up and manage network and information systems in accordance with DORA as part of their broader governance arrangements.
  • Competent authorities are required to ensure that institutions' contingency and business continuity plans, including ICT-specific plans, are established, managed, and tested in accordance with Article 11 of DORA.
  • Risks revealed by digital operational resilience testing under DORA must now be included within the supervisory review and evaluation process for institutions.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Die Richtlinie 2013/36/EU wird wie folgt geändert:

  1. Artikel 65 Absatz 3 Buchstabe a Ziffer vi erhält folgende Fassung:

    1. „Dritte, auf die die Unternehmen im Sinne der Ziffern i bis iv Funktionen oder Tätigkeiten ausgelagert haben, einschließlich IKT-Drittdienstleister gemäß Kapitel V der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates(18),

  2. Artikel 74 Absatz 1 Unterabsatz 1 erhält folgende Fassung:

    „Die Institute verfügen über solide Unternehmensführungsregelungen, wozu eine klare Organisationsstruktur mit genau festgelegten, transparenten und kohärenten Zuständigkeiten, wirksame Verfahren zur Ermittlung, Steuerung, Überwachung und Meldung der tatsächlichen und potenziellen künftigen Risiken, angemessene interne Kontrollmechanismen, einschließlich solider Verwaltungs- und Rechnungslegungsverfahren, Netzwerk- und Informationssysteme, die gemäß der Verordnung (EU) 2022/2554 eingerichtet und verwaltet werden, sowie eine Vergütungspolitik und -praxis, die mit einem soliden und wirksamen Risikomanagement vereinbar und diesem förderlich sind, zählen.“

  3. Artikel 85 Absatz 2 erhält folgende Fassung:

    1. Die zuständigen Behörden stellen sicher, dass die Institute über angemessene Notfall- und Geschäftsfortführungsleitlinien und -pläne verfügen, einschließlich IKT-Geschäftsfortführungsleitlinien und -plänen sowie IKT- Reaktions- und Wiederherstellungsplänen in Bezug auf die von ihnen genutzte Technologie zur Übermittlung von Informationen, und dass diese Pläne gemäß Artikel 11 der Verordnung (EU) 2022/2554 eingerichtet, verwaltet und getestet werden, damit Institute bei einer schwerwiegenden Betriebsunterbrechung geschäftlich tätig bleiben und Verluste in Folge einer solchen Unterbrechung begrenzen können.“

  4. In Artikel 97 Absatz 1 wird folgender Buchstabe angefügt:

    1. „die Risiken, die bei Tests der digitalen operationalen Resilienz gemäß Kapitel IV der Verordnung (EU) 2022/2554 aufgedeckt werden.“.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod