Source: OJ L, 2024/1774, 25.6.2024

Current language: DE

Artikel 25 Test des IKT-Geschäftsfortführungsplans

Summary What does Article 25 of the RTS on ICT risk management framework say?

This article builds directly on Article 24, which establishes the ICT business continuity policy, by setting out the detailed requirements for how financial entities must actually test those plans.

The core purpose is to ensure that testing is rigorous and meaningful — grounded in the entity's business impact analysis and ICT risk assessment — and that it genuinely verifies whether critical or important functions can be kept running through disruptions.

The article also extends specific obligations to central counterparties and central securities depositories, requiring them to involve relevant external parties, such as clearing members and other market infrastructures, in their testing exercises.

Important points:

  • Test ICT business continuity plans using realistic, severe but plausible disruption scenarios, including switchover to backup infrastructure (for all entities except microenterprises), and scenarios covering potential failures of ICT third-party service providers.
  • Central counterparties and central securities depositories must involve relevant external stakeholders — such as clearing members, external providers, and other market infrastructures — in their business continuity testing.
  • Document all testing results and ensure that any deficiencies identified are analysed, addressed, and reported to the management body.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Beim Test der IKT-Geschäftsfortführungspläne gemäß Artikel 11 Absatz 6 der Verordnung (EU) 2022/2554 berücksichtigen die Finanzunternehmen ihre Business-Impact-Analyse (BIA) und die in Artikel 3 Absatz 1 Buchstabe b der vorliegenden Verordnung genannte IKT-Risikobewertung.

    1. Durch den in Absatz 1 genannten Test ihrer IKT-Geschäftsfortführungspläne beurteilen die Finanzunternehmen, ob sie die Fortführung ihrer kritischen oder wichtigen Funktionen gewährleisten können. Diese Tests müssen

      1. ausgehend von Testszenarien durchgeführt werden, bei denen potenzielle Störungen simuliert werden und die eine angemessene Zahl von schwerwiegenden, aber plausiblen Szenarien umfassen,

      2. gegebenenfalls Tests der von IKT-Drittanbietern erbrachten IKT-Dienstleistungen umfassen,

      3. bei den in Artikel 11 Absatz 6 Unterabsatz 2 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, Szenarien für Umstellungen von der primären IKT-Infrastruktur auf die redundanten Kapazitäten, Backups und Systeme enthalten,

      4. darauf ausgelegt sein, die Annahmen, auf denen die Geschäftsfortführungspläne beruhen, einschließlich der Governance-Regelungen und Krisenkommunikationspläne, infrage zu stellen,

      5. Verfahren enthalten, mit denen überprüft wird, ob die Mitarbeiter der Finanzunternehmen, die IKT-Drittdienstleister, die IKT-Systeme und die IKT-Dienste angemessen auf die gemäß Artikel 26 Absatz 2 gebührend berücksichtigten Szenarien reagieren.

    2. Für die Zwecke des Buchstabens a nehmen die Finanzunternehmen in ihre Tests stets die bei Ausarbeitung der Geschäftsfortführungspläne berücksichtigten Szenarien auf.

    3. Für die Zwecke des Buchstabens b berücksichtigen die Finanzunternehmen in gebührendem Umfang gegebenenfalls Szenarien, in denen die Insolvenz oder der Ausfall der IKT-Drittdienstleister oder politische Risiken im Sitzland der IKT-Drittdienstleister unterstellt werden.

    4. Für die Zwecke des Buchstabens c wird bei den Tests überprüft, ob zumindest kritische oder wichtige Funktionen für ausreichend lange Zeit angemessen aufrechterhalten werden können und ob der normale Betrieb wiederhergestellt werden kann.

    1. Zentrale Gegenparteien beziehen in die in Absatz 1 genannten Tests ihrer IKT-Geschäftsfortführungspläne neben den Anforderungen in Absatz 2 folgende Parteien ein:

      1. Clearingmitglieder,

      2. externe Dienstleister,

      3. relevante Institute in der Finanzinfrastruktur, mit denen zentrale Gegenparteien laut ihrer Geschäftsfortführungsleitlinie wechselseitige Abhängigkeiten verbinden.

    1. Zentralverwahrer beziehen in die in Absatz 1 genannten Tests ihrer IKT-Geschäftsfortführungspläne neben den Anforderungen in Absatz 2 gegebenenfalls folgende Parteien ein:

      1. die Nutzer der Zentralverwahrer,

      2. kritische Versorgungsbetriebe und kritische Dienstleister,

      3. andere Zentralverwahrer,

      4. andere Marktinfrastrukturen,

      5. alle sonstigen Institute, mit denen die Zentralverwahrer laut ihrer Geschäftsfortführungsleitlinie wechselseitige Abhängigkeiten verbinden.

    1. Die Finanzunternehmen dokumentieren die Ergebnisse der in Absatz 1 genannten Tests. Alle bei diesen Tests festgestellten Schwachstellen werden analysiert, angegangen und dem Leitungsorgan zur Kenntnis gebracht.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod