Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 15 IKT-Projektmanagement
Summary What does Article 15 of the RTS on ICT risk management framework say?
This article requires financial entities to put in place a formal ICT project management policy, framed as one of the safeguards for preserving data availability, authenticity, integrity, and confidentiality.
It sets out the core components that such a policy must cover — from objectives and governance through to risk assessment, change management, and production deployment testing.
Notably, the article connects project management directly to senior oversight, requiring that ICT projects affecting critical or important functions be reported to the management body, reinforcing the governance thread running throughout the regulation.
Important points:
- Develop, document, and implement an ICT project management policy covering objectives, governance, planning, risk assessment, milestones, change management, and security testing.
- Ensure the policy draws on information and expertise from the business areas or functions affected by each ICT project.
- Report the progress and associated risks of ICT projects impacting critical or important functions to the management body, both periodically and on an event-driven basis.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien für das IKT-Projektmanagement.
In den in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement werden die Elemente festgelegt, die ein wirksames Management der IKT-Projekte in Bezug auf die Beschaffung, die Wartung sowie gegebenenfalls die Entwicklung der IKT-Systeme des Finanzunternehmens gewährleisten.
Die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement müssen alles Folgende beinhalten:
die Ziele des IKT-Projekts,
die Governance des IKT-Projekts, samt Aufgaben und Zuständigkeiten,
die Planung, den zeitlichen Rahmen und die Etappen des IKT-Projekts,
eine IKT-Projektrisikobewertung,
die relevanten Etappenziele,
die Anforderungen an das Änderungsmanagement,
das Testen aller Anforderungen, einschließlich der Sicherheitsanforderungen, und das zugehörige Genehmigungsverfahren bei der Einführung eines IKT-Systems in der Produktionsumgebung.
Durch Bereitstellung der erforderlichen Informationen und Fachkenntnisse aus dem Geschäftsbereich oder den geschäftlichen Funktionen, auf die sich das IKT-Projekt auswirkt, gewährleisten die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement die sichere Durchführung des Projekts.
Der in Absatz 3 Buchstabe d genannten IKT-Projektrisikobewertung entsprechend müssen die in Absatz 1 genannten Richtlinien für das IKT-Projektmanagement vorsehen, dass das Leitungsorgan wie folgt über die Einleitung von IKT-Projekten, die sich auf kritische oder wichtige Funktionen des Finanzunternehmens auswirken, deren Fortschritte und die damit verbundenen Risiken unterrichtet wird:
einzeln oder zusammengefasst, je nach Bedeutung und Umfang der IKT-Projekte,
in regelmäßigen Abständen sowie erforderlichenfalls bei einzelnen Ereignissen.
Relevant recitals
Erwägungsgrund 15 ICT project management
Angesichts der raschen Fortschritte in IKT-Umgebungen sollten die in Titel II genannten Finanzunternehmen robuste Richtlinien und Verfahren für das IKT-Projektmanagement implementieren, um die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten zu gewährleisten. In diesen Richtlinien und Verfahren für das IKT-Projektmanagement sollte festgelegt werden, welche Elemente für den Erfolg von IKT-Projekten erforderlich sind, einschließlich Änderungen, Beschaffung, Wartung und Entwicklung der IKT-Systeme des Finanzunternehmens, wobei es keine Rolle spielt, welche Methodik das Finanzunternehmen für das IKT-Projektmanagement gewählt hat. Im Rahmen dieser Richtlinien und Verfahren sollten Finanzunternehmen bedarfsgerechte Testverfahren und -methoden einführen, ohne jedoch Abstriche an ihrem risikobasierten Ansatz und einem sicheren, zuverlässigen und resilienten IKT-Umfeld zu machen. Zur Gewährleistung einer sicheren Durchführung von IKT-Projekten sollten Finanzunternehmen sicherstellen, dass Mitarbeiter aus bestimmten Geschäftsbereichen oder Funktionen, in denen das entsprechende IKT-Projekt Wirkung zeigen wird, die erforderlichen Informationen und Fachkenntnisse bereitstellen können. Um eine wirksame Aufsicht zu gewährleisten, sollten dem Leitungsorgan Berichte über IKT-Projekte und damit verbundene Risiken vorgelegt werden, insbesondere wenn diese Projekte kritische oder wichtige Funktionen betreffen. Finanzunternehmen sollten die Häufigkeit und die Einzelheiten der systematischen und laufenden Überprüfungen und Berichte auf Bedeutung und Umfang der betreffenden IKT-Projekte abstimmen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
kritische oder wichtige Funktion
(En. critical or important function)
Definition
Leitungsorgan
(En. management body)