Source: OJ L, 2024/1774, 25.6.2024

Current language: DE

Artikel 16 Beschaffung, Entwicklung und Wartung von IKT-Systemen

Summary What does Article 16 of the RTS on ICT risk management framework say?

This article sets out the requirements for how financial entities must govern the entire lifecycle of their ICT systems, from acquisition through development to ongoing maintenance.

It builds on the ICT operations security framework by establishing a dedicated policy and accompanying procedure that together cover security practices, technical specifications, testing, source code integrity, and data protection in non-production environments.

The article is notably detailed and extends specific additional obligations to central counterparties and central securities depositories, requiring them to involve external parties such as clearing members, users, and other market infrastructures in their testing activities.

Important points:

  • Develop, document, and implement both a policy and a procedure governing the acquisition, development, and maintenance of ICT systems, including security testing of all systems prior to use and after maintenance.
  • Source code reviews covering static and dynamic testing are mandatory, and any vulnerabilities or anomalies identified must be addressed through a formal action plan that is actively monitored.
  • Production data may only be used in non-production environments under strict conditions: for specific testing occasions, for limited periods of time, and only following approval by the relevant function with reporting to the ICT risk management function.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen. Diese Richtlinien müssen

      1. Sicherheitskonzepte und Methoden für die Beschaffung, Entwicklung und Wartung von IKT-Systemen enthalten,

      2. verlangen, dass Folgendes angegeben wird:

        1. die technischen Spezifikationen und technischen IKT-Spezifikationen im Sinne von Artikel 2 Nummern 4 und 5 der Verordnung (EU) Nr. 1025/2012,

        2. die Anforderungen für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen mit besonderem Schwerpunkt auf den Anforderungen an die IKT-Sicherheit und auf deren Genehmigung durch die betreffende Geschäftsfunktion und den IKT-Asset-Eigentümer gemäß den internen Governance-Regelungen des Finanzunternehmens;

      3. Maßnahmen vorsehen, mit denen das Risiko einer unbeabsichtigten Veränderung oder einer vorsätzlichen Manipulation der IKT-Systeme während der Entwicklung, Wartung und Einführung dieser IKT-Systeme in der Produktionsumgebung gemindert wird.

    1. Die Finanzunternehmen entwickeln, dokumentieren und implementieren für die Tests und die Genehmigung aller IKT-Systeme vor ihrer Nutzung und nach ihrer Wartung gemäß Artikel 8 Absatz 2 Buchstabe b Ziffern v, vi und vii ein Verfahren für die Beschaffung, die Entwicklung und die Wartung von IKT-Systemen. Der Testumfang muss der Kritikalität der betreffenden Geschäftsprozesse und IKT-Assets angemessen sein. Die Tests müssen so ausgelegt sein, dass überprüft werden kann, ob neue IKT-Systeme ihrer geplanten Bestimmung angemessen sind, was auch die Qualität der intern entwickelten Software einschließt.

    2. Zentrale Gegenparteien beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests neben den in Unterabsatz 1 genannten Anforderungen soweit relevant die folgenden Parteien ein:

      1. Clearingmitglieder und Kunden,

      2. interoperable zentrale Gegenparteien,

      3. andere interessierte Parteien.

    3. Zentralverwahrer beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests neben den in Unterabsatz 1 genannten Anforderungen soweit relevant die folgenden Parteien ein:

      1. Nutzer,

      2. kritische Versorgungsbetriebe und kritische Dienstleister,

      3. andere Zentralverwahrer,

      4. andere Marktinfrastrukturen,

      5. alle sonstigen Institute, mit denen die Zentralverwahrer laut ihrer Geschäftsfortführungsleitlinie wechselseitige Abhängigkeiten verbinden.

    1. Im Rahmen des in Absatz 2 genannten Verfahrens sind Quellcodeprüfungen durchzuführen, die sowohl statische als auch dynamische Tests umfassen. Bei diesen Tests muss die Sicherheit internetexponierter Systeme und Anwendungen gemäß Artikel 8 Absatz 2 Buchstabe b Ziffern v, vi und vii getestet werden. Finanzunternehmen müssen

      1. Schwachstellen und Anomalien im Quellcode ermitteln und analysieren,

      2. einen Aktionsplan festlegen, um diese Schwachstellen und Anomalien zu beheben,

      3. die Umsetzung dieses Aktionsplans überwachen.

    1. Im Rahmen des in Absatz 2 genannten Verfahrens muss spätestens zur Integrationsphase die Sicherheit von Softwarepaketen gemäß Artikel 8 Absatz 2 Buchstabe b Ziffern v, vi und vii getestet werden.

    1. Das in Absatz 2 genannte Verfahren muss Folgendes vorsehen:

      1. in Nichtproduktionsumgebungen dürfen nur anonymisierte, pseudonymisierte oder randomisierte Produktionsdaten gespeichert werden,

      2. Finanzunternehmen müssen die Integrität und Vertraulichkeit von Daten in Nichtproduktionsumgebungen schützen.

    1. Abweichend von Absatz 5 kann das in Absatz 2 genannte Verfahren vorsehen, dass Produktionsdaten nur für bestimmte Testanlässe, für begrenzte Zeiträume und nach Genehmigung durch die betreffende Funktion sowie nach Meldung solcher Anlässe an die IKT-Risikomanagement-Funktion gespeichert werden.

    1. Das in Absatz 2 genannte Verfahren muss Kontrollen zum Schutz der Integrität des Quellcodes von IKT-Systemen vorsehen, die intern oder von einem IKT-Drittdienstleister entwickelt und dem Finanzunternehmen von einem IKT-Drittdienstleister geliefert werden.

    1. Das in Absatz 2 genannte Verfahren muss vorsehen, dass proprietäre Software und nach Möglichkeit der Quellcode, der von IKT-Drittdienstleistern bereitgestellt wird oder aus Open-Source-Projekten stammt, vor ihrer Einführung in der Produktionsumgebung gemäß Absatz 3 analysiert und getestet werden.

    1. Die Absätze 1 bis 8 gelten auch für IKT-Systeme, die von nicht bei der IKT-Funktion angesiedelten Nutzern nach einem risikobasierten Ansatz entwickelt oder betrieben werden.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod