Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 29 Informationssicherheitsleitlinien und -maßnahmen
Summary What does Article 29 of the RTS on ICT risk management framework say?
This article applies specifically to the smaller financial entities subject to the simplified ICT risk management framework under Article 16(1) of DORA.
It requires those entities to establish an information security policy as the foundation for their ICT security posture, from which concrete security measures must then flow.
The article acts as a gateway provision, anchoring the simplified framework by directing financial entities to the detailed security measures set out in Articles 30 to 38 of this regulation.
Important points:
- Develop, document, and implement an information security policy covering the confidentiality, integrity, availability, and authenticity of data and services.
- Use that policy as the basis for establishing and implementing ICT security measures, including those carried out by ICT third-party service providers.
- The ICT security measures required must encompass all measures specified in Articles 30 to 38 of this regulation.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen erarbeiten, dokumentieren und implementieren im Zusammenhang mit dem vereinfachten IKT-Risikomanagementrahmen eine Informationssicherheitsleitlinie. Diese Informationssicherheitsleitlinie enthält die übergeordneten Grundsätze und Regeln zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Daten und der von diesen Finanzunternehmen erbrachten Dienstleistungen.
Auf der Grundlage ihrer in Absatz 1 genannten Informationssicherheitsleitlinie legen die in Absatz 1 genannten Finanzunternehmen IKT-Sicherheitsmaßnahmen zur Minderung ihres IKT-Risikos fest und setzen diese um, einschließlich Risikominderungsmaßnahmen, die von IKT-Drittdienstleistern umgesetzt werden.
Die IKT-Sicherheitsmaßnahmen müssen alle in den Artikeln 30 bis 38 genannten Maßnahmen umfassen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
IKT-Dienstleistungen
(En. ICT services)
Definition
IKT-Risiko
(En. ICT risk)