Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 19 Richtlinien für Personalpolitik
Summary What does Article 19 of the RTS on ICT risk management framework say?
This article focuses on the human element of ICT security, requiring financial entities to embed specific ICT security obligations directly into their HR policies or equivalent internal policies.
Rather than treating ICT security as a purely technical matter, it extends accountability to staff and third-party service provider personnel who interact with the financial entity's ICT assets, covering their conduct during and at the end of their engagement.
Important points:
- Embed ICT security requirements into your human resource policy, covering both internal staff and staff of ICT third-party service providers who access your ICT assets.
- Ensure all relevant staff are informed of and adhere to ICT security policies, and are aware of reporting channels for anomalous behaviour, including those aligned with the EU whistleblowing directive.
- Require staff to return all ICT assets and tangible information assets to the financial entity upon termination of employment.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die Finanzunternehmen nehmen in ihre Richtlinien für Personalpolitik oder in ihre anderen einschlägigen Richtlinien alle nachstehend genannten IKT-sicherheitsbezogenen Elemente auf:
die Angabe und Zuweisung etwaiger spezifischer Zuständigkeiten im Bereich der IKT-Sicherheit,
die Vorgabe für die Mitarbeiter des Finanzunternehmens und des IKT-Drittdienstleisters, die IKT-Assets des Finanzunternehmens nutzen oder auf diese zugreifen,
sich über die Richtlinien, Verfahren und Protokolle des Finanzunternehmens zur IKT-Sicherheit zu informieren und diese einzuhalten,
auf dem Laufenden darüber zu sein, welche Kanäle das Finanzunternehmen für die Meldung anomaler Verhaltensweisen geschaffen hat, wozu — soweit relevant — die gemäß der Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates(11) eingerichteten Meldekanäle zählen,
dem Finanzunternehmen nach Beendigung des Beschäftigungsverhältnisses alle in ihrem Besitz befindlichen IKT-Assets und materiellen Informationsassets, die Eigentum des Finanzunternehmens sind, auszuhändigen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
Informationsasset
(En. information asset)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
IKT-Asset
(En. ICT asset)
Definition
IKT-Dienstleistungen
(En. ICT services)
Footnote 11