Art. 11 Daten- und Systemsicherheit | RTS on ICT risk management framework | DORA

Article 11 requires financial entities to develop, document, and implement a data and system security procedure as part of their broader ICT security framework under Article 9(2) of DORA.

The article is notably detailed, covering a wide range of practical security requirements — from endpoint device management and malicious code protection, to secure data deletion and the governance of ICT third-party service providers.

The procedure must be shaped by the data classification framework established under Article 8(1) of DORA, meaning the security measures applied must reflect the sensitivity and criticality of the assets involved.

Important points:

Develop and implement a comprehensive data and system security procedure covering ICT assets, endpoint devices, software controls, data handling, and third-party provider arrangements.
Endpoint device security carries specific obligations, including remote management and wiping capabilities, tamper-proof security mechanisms, and restrictions on removable storage based on the financial entity's risk tolerance.
Where ICT assets or services are operated by a third-party provider, financial entities retain full responsibility and must clearly allocate security roles, maintain internal competences, and apply technical and organisational measures to manage associated risks.

1. Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools ein Verfahren für die Daten- und Systemsicherheit.
1. Das in Absatz 1 genannte Verfahren für die Daten- und Systemsicherheit umfasst alle folgenden Elemente im Zusammenhang mit der Daten- und IKT-Systemsicherheit im Einklang mit der gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 festgelegten Klassifizierung:
  1. die in Artikel 21 dieser Verordnung genannten Zugangsbeschränkungen zur Unterstützung der Anforderungen im Zusammenhang mit dem Schutz für jede Klassifizierungsstufe;
  2. die Ermittlung von Mindestanforderungen an eine sichere Konfigurationsbasis für IKT-Assets, durch die die Exposition dieser IKT-Assets gegenüber Cyberbedrohungen minimiert wird, sowie Maßnahmen zur regelmäßigen Überprüfung, ob diese Mindestanforderungen wirksam verwendet werden;
  3. die Ermittlung von Sicherheitsmaßnahmen, um zu gewährleisten, dass ausschließlich zugelassene Software in IKT-Systemen und Endgeräten installiert wird;
  4. die Ermittlung von Sicherheitsmaßnahmen gegen Schadprogramme;
  5. die Ermittlung von Sicherheitsmaßnahmen, um zu gewährleisten, dass ausschließlich zugelassene Datenträger, Systeme und Endgeräte für die Übermittlung und Speicherung von Daten des Finanzunternehmens verwendet werden;
  6. die folgenden Anforderungen, um die sichere Nutzung tragbarer Endgeräte und privater nicht tragbarer Endgeräte zu gewährleisten:
    die Anforderung einer Lösung für das Management der Endgeräte und die Löschung von Daten des Finanzunternehmens durch Fernzugriff,
    die Anforderung, Sicherheitsmechanismen zu verwenden, die von den Mitarbeitern oder IKT-Drittdienstleistern nicht auf unbefugte Weise geändert, entfernt oder umgangen werden können,
    die Anforderung, mobile Datenspeicher nur dann zu verwenden, wenn das IKT-Restrisiko unter der in Artikel 3 Absatz 1 Buchstabe a genannten Risikotoleranzschwelle des Finanzunternehmens liegt;
  7. das Verfahren zur sicheren Löschung von Daten in den Räumlichkeiten des Finanzunternehmens oder von extern gespeicherten Daten, die das Finanzunternehmen nicht mehr erheben oder speichern muss;
  8. das Verfahren zur sicheren Entsorgung oder Außerbetriebnahme von Datenspeichern in den Räumlichkeiten des Finanzunternehmens oder von extern aufbewahrten Datenspeichern, die vertrauliche Informationen enthalten;
  9. die Ermittlung und Implementierung von Sicherheitsmaßnahmen zur Verhinderung von Datenverlust und Datenlecks bei Systemen und Endgeräten;
  10. die Implementierung von Sicherheitsmaßnahmen, um zu gewährleisten, dass Telearbeit und die Nutzung privater Endgeräte nicht die IKT-Sicherheit des Finanzunternehmens beeinträchtigen;
  11. für IKT-Assets oder -Dienstleistungen, die von einem IKT- Drittdienstleister betrieben werden, die Ermittlung und Umsetzung von Anforderungen an die Aufrechterhaltung der digitalen operationalen Resilienz im Einklang mit den Ergebnissen der Datenklassifizierung und der IKT-Risikobewertung.
2. Für die Zwecke von Buchstabe b werden im Rahmen der dort genannten sicheren Konfigurationsbasis die führenden Praktiken und geeigneten Techniken berücksichtigt, die in den Normen im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012 festgelegt sind.
3. Für die Zwecke von Buchstabe k berücksichtigen Finanzunternehmen Folgendes:
  1. die Implementierung der vom Anbieter empfohlenen Einstellungen für Komponenten, die vom Finanzunternehmen betrieben werden;
  2. eine klare Aufteilung der die Informationssicherheit betreffenden Aufgaben und Verantwortlichkeiten zwischen dem Finanzunternehmen und dem IKT-Drittdienstleister im Einklang mit dem in Artikel 28 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 genannten Grundsatz der vollen Verantwortlichkeit des Finanzunternehmens für seinen IKT-Drittdienstleister und für Finanzunternehmen nach Artikel 28 Absatz 2 der genannten Verordnung sowie im Einklang mit der Richtlinie des Finanzunternehmens für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen;
  3. die Notwendigkeit, innerhalb des Finanzunternehmens angemessene Kompetenzen für das Management und die Sicherheit der in Anspruch genommenen Dienstleistungen sicherzustellen und aufrechtzuerhalten;
  4. technische und organisatorische Maßnahmen zur Minimierung der Risiken im Zusammenhang mit der Infrastruktur, die der IKT-Drittdienstleister für seine IKT-Dienstleistungen nutzt, unter Berücksichtigung führender Praktiken und Normen im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) Nr. 1025/2012.