Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 17 IKT-Änderungsmanagement
Summary What does Article 17 of the RTS on ICT risk management framework say?
This article elaborates on the ICT change management procedures that financial entities must have in place, building directly on the requirement in Article 9(4)(e) of DORA (Regulation (EU) 2022/2554).
It sets out the minimum content those procedures must cover for any change to software, hardware, firmware, systems, or security parameters — encompassing everything from roles and responsibilities, documentation, and fall-back procedures, to the handling of emergency changes both during and after their implementation.
The article also imposes an additional, more demanding obligation on central counterparties and central securities depositories specifically: following significant ICT system changes, they must conduct stringent stress-condition testing and involve relevant external parties in that process.
Important points:
- Include all mandated elements — such as independence of approval functions, fall-back procedures, and impact assessments on existing security measures — in your ICT change management procedures.
- Emergency changes must be covered by dedicated procedures, protocols, and tools, and must be documented, re-evaluated, assessed, and approved even after their implementation.
- Central counterparties and central securities depositories are required to conduct stringent stress-condition testing after significant ICT changes, involving clearing members, clients, users, and other relevant external parties as appropriate.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Im Rahmen der Schutzvorkehrungen zur Wahrung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten sehen die Finanzunternehmen in den in Artikel 9 Absatz 4 Buchstabe e der Verordnung (EU) 2022/2554 genannten IKT-Änderungsmanagementverfahren für alle Änderungen an Software, Hardware, Firmware-Komponenten, Systemen oder Sicherheitsparametern alles Folgende vor:
eine Überprüfung, ob die IKT-Sicherheitsanforderungen erfüllt sind,
Mechanismen, die gewährleisten, dass die Funktionen, die Änderungen genehmigen, und die Funktionen, die für die Beantragung und Umsetzung dieser Änderungen zuständig sind, unabhängig sind,
eine klare Beschreibung der Aufgaben und Zuständigkeiten, um zu gewährleisten, dass
Änderungen angegeben und geplant werden,
ein angemessener Übergang vorgesehen ist,
die Änderungen kontrolliert getestet und finalisiert werden,
eine wirksame Qualitätssicherung gewährleistet ist,
die Dokumentation und Kommunikation der Änderungen im Detail, wozu u. a. Folgendes zählt:
Zweck und Umfang der Änderung,
Zeitplan für die Umsetzung der Änderung,
die erwarteten Ergebnisse;
die Angabe von Ausweichverfahren und -zuständigkeiten, einschließlich Verfahren und Zuständigkeiten für den Abbruch von Änderungen oder die Wiederherstellung, wenn Änderungen nicht erfolgreich implementiert wurden,
Verfahren, Protokolle und Tools für den Umgang mit Notfalländerungen, die angemessene Schutzvorkehrungen vorsehen,
Verfahren zur Dokumentation, Neubewertung, Bewertung und Genehmigung von Notfalländerungen, nachdem diese vorgenommen wurden, einschließlich Ausweichlösungen und Patches,
Angabe der potenziellen Auswirkungen einer Änderung auf bestehende IKT-Sicherheitsmaßnahmen und Bewertung, ob eine solche Änderung zusätzliche IKT-Sicherheitsmaßnahmen erfordert.
Wenn zentrale Gegenparteien und Zentralverwahrer an ihren IKT-Systemen erhebliche Änderungen vorgenommen haben, unterziehen sie diese strengen Tests unter Simulation von Stressbedingungen.
Zentrale Gegenparteien beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests soweit relevant die folgenden Parteien ein:
Clearingmitglieder und Kunden,
interoperable zentrale Gegenparteien,
andere interessierte Parteien.
Zentralverwahrer beziehen in die Ausgestaltung und Durchführung der in Unterabsatz 1 genannten Tests soweit relevant die folgende Parteien ein:
Nutzer,
kritische Versorgungsbetriebe und kritische Dienstleister,
andere Zentralverwahrer,
andere Marktinfrastrukturen,
alle sonstigen Institute, mit denen die Zentralverwahrer laut ihrer IKT-Geschäftsfortführungsleitlinie wechselseitige Abhängigkeiten verbinden.
Relevant recitals
Erwägungsgrund 17 ICT change management policies and procedures
Änderungen bergen unabhängig von ihrem Umfang bestimmte inhärente Risiken, können erhebliche Risiken für den Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Daten mit sich bringen und somit zu schwerwiegenden Betriebsstörungen führen. Um Finanzunternehmen vor potenziellen IKT-Schwachstellen und damit verbundenen erheblichen Risiken zu schützen, wird ein strenges Überprüfungsverfahren benötigt, um festzustellen, ob Änderungen die erforderlichen IKT-Sicherheitsanforderungen erfüllen. Deshalb sollten sich die in Titel II genannten Finanzunternehmen solide Richtlinien und Verfahren für das IKT-Änderungsmanagement geben und diese als wesentliches Element ihrer Richtlinien und Verfahren für die IKT-Sicherheit behandeln. Um Objektivität und Wirksamkeit des IKT-Änderungsmanagements zu wahren, Interessenkonflikte zu vermeiden und eine objektive Bewertung von IKT-Änderungen sicherzustellen, müssen die für die Genehmigung dieser Änderungen zuständigen Funktionen von den Funktionen getrennt sein, die Änderungen anstoßen und umsetzen. Zur Gewährleistung eines wirksamen Übergangs, einer kontrollierten Umsetzung von IKT-Änderungen und minimaler Störungen des Betriebs der IKT-Systeme sollten Finanzunternehmen Rollen und Zuständigkeiten eindeutig zuweisen, um sicherzustellen, dass IKT-Änderungen gut geplant und angemessen getestet werden und dass Qualität gewährleistet ist. Ferner sollten Finanzunternehmen Ausweichverfahren entwickeln und umsetzen, die gewährleisten, dass IKT-Systeme weiterhin wirksam funktionieren, und für ein Sicherheitsnetz sorgen. Finanzunternehmen sollten diese Ausweichverfahren eindeutig definieren und die entsprechenden Zuständigkeiten zuweisen, um eine rasche und wirksame Reaktion auf nicht erfolgreich verlaufene IKT-Änderungen zu gewährleisten.
Erwägungsgrund 24 Additional requirements for financial market infrastructure participants
Es werden Anforderungen bezüglich des operationellen Risikos benötigt, insbesondere Anforderungen an das IKT-Projekt- und Änderungsmanagement und die IKT-Geschäftsfortführung, die auf den Anforderungen aufbauen, die gemäß den Verordnungen (EU) Nr. 648/2012(3), (EU) Nr. 600/2014(4) und (EU) Nr. 909/2014(5) des Europäischen Parlaments und des Rates bereits für zentrale Gegenparteien, Zentralverwahrer und Handelsplätze gelten.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
zentrale Gegenpartei
(En. central counterparty)
Definition
Zentralverwahrer
(En. central securities depository)
Footnote 5
Footnote 4
Footnote 3