Art. 17 Prozess für die Behandlung IKT-bezogener Vorfälle | DORA regulation | DORA

This article requires financial entities to build and operate a formal ICT-related incident management process.

It sits at the heart of the regulation's incident handling framework, feeding directly into Article 18 (which sets the classification criteria) and Article 14 (which governs crisis communications).

The article covers the full lifecycle of incident management: detection, recording, classification, escalation, communication, and response.

Notably, the obligation extends beyond ICT-related incidents to also include the recording of significant cyber threats, and root cause analysis is explicitly required to prevent recurrence.

Important points:

Define, establish and implement an ICT-related incident management process covering detection, management and notification of incidents.
Record all ICT-related incidents and significant cyber threats, and ensure root causes are identified, documented and addressed.
Major ICT-related incidents must be escalated to senior management and the management body, with explanation of the impact, response and any additional controls required.

1. Finanzunternehmen bestimmen einen Prozess für die Behandlung IKT-bezogener Vorfälle, richten diese ein und wenden sie an, um IKT-bezogene Vorfälle zu erkennen, zu behandeln und zu melden.
1. Finanzunternehmen erfassen alle IKT-bezogenen Vorfälle und erheblichen Cyberbedrohungen. Finanzunternehmen richten angemessene Verfahren und Prozesse ein, um die kohärente und integrierte Überwachung, Handhabung und Weiterverfolgung IKT-bezogener Vorfälle zu gewährleisten, um sicherzustellen, dass Ursachen ermittelt, dokumentiert und angegangen werden, um das Auftreten solcher Vorfälle zu verhindern.
1. Durch den in Absatz 1 genannten Prozess für die Behandlung IKT-bezogener Vorfälle
  1. werden Frühwarnindikatoren eingesetzt;
  2. werden Verfahren zur Ermittlung, Nachverfolgung, Protokollierung, Kategorisierung und Klassifizierung IKT-bezogener Vorfälle entsprechend ihrer Priorität und Schwere und entsprechend der Kritikalität der betroffenen Dienste entsprechend den in Artikel 18 Absatz 1 genannten Kriterien eingerichtet;
  3. werden Funktionen und Zuständigkeiten zugewiesen, die bei verschiedenen Arten von IKT-bezogenen Vorfällen und -Szenarien aktiviert werden müssen;
  4. werden gemäß Artikel 14 Pläne für die Kommunikation mit Personal, externen Interessenträgern und Medien sowie für die Benachrichtigung von Kunden, für interne Eskalationsverfahren, einschließlich IKT-bezogener Kundenbeschwerden, und für die Bereitstellung von Informationen an andere Finanzunternehmen, die als Gegenparteien fungieren, ausgearbeitet, je nach Sachlage;
  5. wird sichergestellt, dass zumindest schwerwiegende IKT-bezogene Vorfälle der zuständigen höheren Führungsebene gemeldet werden und die Geschäftsleitung informiert wird, wobei die Auswirkungen und Gegenmaßnahmen und zusätzliche Kontrollen erläutert werden, die infolge dieser IKT-bezogenen Vorfälle einzurichten sind;
  6. werden Verfahren für Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen eingerichtet, um Auswirkungen zu mindern und sicherzustellen, dass die Dienste zeitnah verfügbar und sicher werden.