Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 22 Richtlinien für die Behandlung IKT-bezogener Vorfälle
Summary What does Article 22 of the RTS on ICT risk management framework say?
This article requires financial entities to develop, document, and implement a dedicated ICT-related incident policy as part of their broader anomaly detection mechanisms.
It connects directly to the ICT-related incident management process established under Article 17 of DORA (Regulation (EU) 2022/2554), effectively operationalising that process by setting out what the supporting policy must contain.
The article covers the full incident policy lifecycle: from maintaining contact lists and deploying detection mechanisms, to retaining evidence securely and analysing patterns in recurring incidents.
Important points:
- Develop, document, and implement an ICT-related incident policy that supports the incident management process referenced in Article 17 of DORA.
- Retain all evidence related to ICT-related incidents securely, for no longer than necessary, and in line with Commission Delegated Regulation (EU) 2024/1772 and applicable Union law.
- Establish mechanisms to analyse significant or recurring ICT-related incidents, including patterns in their number and occurrence.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Im Rahmen des Mechanismus zur Erkennung anomaler Aktivitäten, worunter auch Probleme bei der Leistung von IKT-Netzwerken und IKT-bezogene Vorfälle fallen, entwickeln, dokumentieren und implementieren die Finanzunternehmen Richtlinien für IKT-bezogene Vorfälle, in deren Rahmen sie
den in Artikel 17 der Verordnung (EU) 2022/2554 genannten Prozess für die Behandlung IKT-bezogener Vorfälle dokumentieren,
eine Liste der relevanten Kontakte erstellen, die mit internen Funktionen und externen Interessenträgern, die direkt an der IKT-Betriebssicherheit beteiligt sind, unter anderem in Bezug auf Folgendes unterhalten werden:
die Erkennung und Überwachung von Cyberbedrohungen,
die Erkennung anomaler Aktivitäten,
das Schwachstellenmanagement;
technische, organisatorische und operative Mechanismen zur Unterstützung des Prozesses für die Behandlung IKT-bezogener Vorfälle einrichten, implementieren und betreiben, darunter auch Mechanismen, die eine rasche Erkennung anomaler Tätigkeiten und Verhaltensweisen gemäß Artikel 23 ermöglichen,
gemäß Artikel 15 der Delegierten Verordnung (EU) 2024/1772(12) und gemäß allen nach Unionsrecht geltenden Speichervorschriften alle Nachweise im Zusammenhang mit IKT-bezogenen Vorfällen so lange aufbewahren, wie es für die Zwecke der Datenerhebung unbedingt erforderlich und der Kritikalität der betreffenden Unternehmensfunktionen, unterstützenden Prozesse sowie IKT- und Informationsassets angemessen ist,
Mechanismen zur Analyse bedeutender oder wiederkehrender IKT-bezogener Vorfälle und -Muster in Bezug auf Anzahl und Auftreten IKT-bezogener Vorfälle einrichten und implementieren.
Für die Zwecke des Buchstabens d bewahren die Finanzunternehmen die dort genannten Nachweise auf sichere Weise auf.
Relevant recitals
Erwägungsgrund 18 ICT-related incident management process
Mit Blick auf die Erkennung, Steuerung und Meldung IKT-bezogener Vorfälle sollten in Titel II genannte Finanzunternehmen eine Strategie für IKT-bezogene Vorfälle mit den Komponenten eines IKT-Vorfallmanagements festlegen. Zu diesem Zweck sollten Finanzunternehmen alle relevanten Kontakte inner- und außerhalb der Organisation ermitteln, die eine ordnungsgemäße Koordinierung und Durchführung der verschiedenen Phasen dieses Prozesses unterstützen können. Zur Verbesserung der Erkennung IKT-bezogener Vorfälle und der Reaktion darauf und um bei diesen Vorfällen Trends zu ermitteln, die Finanzunternehmen wertvolle Informationen liefern können, um grundlegende Ursachen und Probleme wirksam auszumachen und anzugehen, sollten Finanzunternehmen IKT-bezogene Vorfälle und insbesondere solche, die sie unter anderem aufgrund ihres regelmäßigen Wiederauftretens für besonders wichtig halten, eingehend analysieren.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Informationsasset
(En. information asset)
Definition
Cyberbedrohung
(En. cyber threat)
Footnote 12