Source: OJ L, 2024/1774, 25.6.2024

Current language: DE

Artikel 26 IKT-Reaktions- und Wiederherstellungspläne

Summary What does Article 26 of the RTS on ICT risk management framework say?

This article sets out the detailed requirements for ICT response and recovery plans, building directly on the ICT business continuity policy framework established in Article 24.

It requires financial entities to ground these plans in their business impact analysis and covers everything from the conditions triggering plan activation, to the range of disruption scenarios that must be accounted for.

Notably, the article provides an extensive and explicit list of scenarios that plans must address, ranging from cyber-attacks and insider threats to natural disasters, political instability, and widespread power outages, reflecting the broad threat landscape financial entities must prepare for.

Important points:

  • Develop ICT response and recovery plans that are rooted in the business impact analysis, cover both short- and long-term recovery options, and are documented and accessible to relevant staff with clearly assigned roles and responsibilities.
  • Ensure your plans account for a wide range of defined disruption scenarios, including cyber-attacks, ICT third-party service provider failures, staff unavailability, and physical or environmental disasters.
  • Implement continuity measures within your plans to specifically mitigate failures of ICT third-party service providers supporting critical or important functions.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Bei der Ausarbeitung der in Artikel 11 Absatz 3 der Verordnung (EU) 2022/2554 genannten IKT-Reaktions- und Wiederherstellungspläne berücksichtigen die Finanzunternehmen die Ergebnisse der Business-Impact-Analyse (BIA) des Finanzunternehmens. Diese IKT-Reaktions- und Wiederherstellungspläne müssen

      1. die Bedingungen für die Aktivierung oder Deaktivierung der Pläne sowie etwaige für deren Aktivierung oder Deaktivierung geltenden Ausnahmen festlegen;

      2. beschreiben, welche Maßnahmen zu ergreifen sind, um die Verfügbarkeit, Integrität, Kontinuität und Wiederherstellung zumindest der IKT-Systeme und -Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen des Finanzunternehmens sicherzustellen;

      3. so konzipiert sein, dass sie den Zielen für die Wiederherstellung des Geschäftsbetriebs der Finanzunternehmen gerecht werden;

      4. dokumentiert und den an der Ausführung der IKT-Reaktions- und Wiederherstellungspläne beteiligten Mitarbeitern zur Verfügung gestellt werden und im Notfall leicht zugänglich sein;

      5. sowohl kurz- als auch langfristige Wiederherstellungsoptionen vorsehen, insbesondere auch die teilweise Systemwiederherstellung;

      6. die Ziele der IKT-Reaktions- und Wiederherstellungspläne sowie die Bedingungen festlegen, unter denen die Durchführung dieser Pläne für erfolgreich erklärt werden kann.

    2. Für die Zwecke von Buchstabe d legen die Finanzunternehmen die Aufgaben und Zuständigkeiten klar fest.

    1. In den in Absatz 1 genannten IKT-Reaktions- und Wiederherstellungsplänen werden relevante Szenarien genannt, insbesondere auch Szenarien mit schwerwiegenden Betriebsstörungen und erhöhter Wahrscheinlichkeit, dass Störungen auftreten. In diesen Plänen werden Szenarien ausgearbeitet, die sich auf aktuelle Informationen über Bedrohungen und auf die Lehren aus früheren Betriebsstörungen stützen. Von den Finanzunternehmen werden alle folgenden Szenarien gebührend berücksichtigt:

      1. Cyberangriffe und Umstellungen von der primären IKT-Infrastruktur auf die redundanten Kapazitäten, Backups und redundanten Systeme;

      2. Szenarien, in denen die Qualität der Bereitstellung einer kritischen oder wichtigen Funktion auf ein inakzeptables Niveau absinkt oder diese Funktion ganz ausfällt und in denen die potenziellen Auswirkungen der Insolvenz oder sonstiger Ausfälle eines relevanten IKT-Drittdienstleisters gebührend berücksichtigt werden;

      3. teilweiser oder vollständiger Ausfall von Räumlichkeiten, insbesondere auch von Büro- und Geschäftsräumen, sowie von Rechenzentren;

      4. erheblicher Ausfall von IKT-Assets oder der Kommunikationsinfrastruktur;

      5. Nichtverfügbarkeit einer kritischen Anzahl von Mitarbeitern oder von Mitarbeitern, die für die Gewährleistung der Betriebskontinuität zuständig sind;

      6. Auswirkungen von Ereignissen im Zusammenhang mit Klimawandel und Umweltzerstörung, Naturkatastrophen, Pandemien und physischen Angriffen, insbesondere auch durch Eindringen und Terroranschläge;

      7. Angriffe durch Insider;

      8. politische und soziale Instabilität, sofern relevant auch im Sitzland des IKT-Drittdienstleisters und am Standort der Datenspeicherung und -verarbeitung;

      9. weitverbreitete Stromausfälle.

    1. Sind die primären Wiederherstellungsmaßnahmen möglicherweise wegen Kosten, Risiken, Logistik oder unvorhergesehener Umstände kurzfristig nicht durchführbar, so werden in den in Absatz 1 genannten IKT-Reaktions- und Wiederherstellungsplänen auch Alternativen erwogen.

    1. Im Rahmen der in Absatz 1 genannten IKT-Reaktions- und Wiederherstellungspläne werden von den Finanzunternehmen Kontinuitätsmaßnahmen geprüft und durchgeführt, um Ausfälle von IKT-Drittdienstleistern, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen des Finanzunternehmens bereitstellen, zu mindern.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod