Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 1 Gesamtrisikoprofil und -komplexität
Summary What does Article 1 of the RTS on ICT risk management framework say?
This opening article establishes a cross-cutting principle that applies to everything that follows in the regulation.
It states that financial entities must take their own size, risk profile, and operational complexity into account when developing and implementing their ICT security policies and simplified ICT risk management framework.
In other words, the obligations set out in Titles II and III are not one-size-fits-all; the way they are applied must reflect the specific characteristics of each entity.
Important points:
- Tailor your ICT security policies and risk management framework to the size, risk profile, and complexity of your organisation.
- The tailoring requirement covers key domains including encryption, network security, ICT operations, and project and change management.
- Factor in the potential impact of ICT risk on the confidentiality, integrity, and availability of data, as well as on the continuity of your activities.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Bei der Entwicklung und Implementierung der Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit nach Titel II und des vereinfachten IKT-Risikomanagementrahmens nach Titel III werden Größe und Gesamtrisikoprofil des Finanzunternehmens sowie die Art und der Umfang seiner Dienstleistungen, Tätigkeiten und Geschäfte und die Elemente berücksichtigt, die deren Komplexität erhöhen oder verringern, darunter:
Verschlüsselung und Kryptografie;
IKT-Betriebssicherheit;
Netzwerksicherheit;
IKT-Projekt- und -Änderungsmanagement;
die potenziellen Auswirkungen des IKT-Risikos auf die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie von Störungen, die die Kontinuität und Verfügbarkeit der Tätigkeiten des Finanzunternehmens beeinträchtigen.
Relevant recitals
Erwägungsgrund 1 Principle of proportionality
Die Verordnung (EU) 2022/2554 gilt für ein breites Spektrum von Finanzunternehmen, die sich in Bezug auf Größe, Struktur, interne Organisation sowie Art und Komplexität ihrer Tätigkeiten unterscheiden und daher mehr oder weniger Komplexitäts- oder Risikoelemente aufweisen. Um sicherzustellen, dass dieser Vielfalt gebührend Rechnung getragen wird, sollten sämtliche Anforderungen in Bezug auf Richtlinien, Verfahren, Protokolle und Tools für IKT-Sicherheit sowie einen vereinfachten IKT-Risikomanagementrahmen in einem angemessenen Verhältnis zu Größe, Struktur, interner Organisation, Art und Komplexität dieser Finanzunternehmen und den damit verbundenen Risiken stehen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
IKT-Risiko
(En. ICT risk)