Source: OJ L, 2024/1774, 25.6.2024

Current language: DE

Artikel 3 IKT-Risikomanagement

Summary What does Article 3 of the RTS on ICT risk management framework say?

This article sets out the detailed requirements for ICT risk management policies and procedures that financial entities must develop, document, and implement.

It builds directly on the broader ICT risk management framework established under DORA (Regulation (EU) 2022/2554), translating its high-level obligations into concrete procedural requirements.

The article covers the full lifecycle of ICT risk management: from establishing a risk tolerance level and conducting risk assessments, through implementing treatment measures, to handling residual risks that remain after those measures are applied.

A notable element is the structured approach to residual risk, which must be inventoried, justified, assigned to responsible owners, and reviewed at least annually.

The article also requires ongoing monitoring of the threat landscape and vulnerabilities, and ensures that any changes to the financial entity's business or digital resilience strategy feed back into the risk management process.

Important points:

  • Develop, document, and implement ICT risk management policies and procedures covering the entire risk lifecycle, from assessment through treatment to residual risk management.
  • Maintain an inventory of accepted residual ICT risks with written justifications, and review those accepted risks at least once a year to confirm the reasons for acceptance remain valid.
  • Continuously monitor changes to the ICT risk and cyber threat landscape, internal and external vulnerabilities, and ensure shifts in business or digital resilience strategy are reflected in the risk management framework.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

  1. Die Finanzunternehmen entwickeln, dokumentieren und implementieren Richtlinien und Verfahren für das IKT-Risikomanagement, die alle folgenden Elemente umfassen:

    1. einen Verweis auf die Genehmigung der nach Artikel 6 Absatz 8 Buchstabe b der Verordnung (EU) 2022/2554 festgelegten Risikotoleranzschwelle für IKT-Risiken;

    2. ein Verfahren und eine Methodik für die Durchführung der IKT-Risikobewertung, um Folgendes zu ermitteln:

      1. Schwachstellen und Bedrohungen, die die unterstützten Unternehmensfunktionen, die IKT-Systeme und die IKT-Assets, die diese Funktionen unterstützen, beeinträchtigen oder beeinträchtigen könnten,

      2. die quantitativen oder qualitativen Indikatoren zur Messung der Auswirkungen und der Wahrscheinlichkeit eines Auftretens der unter Ziffer i genannten Schwachstellen und Bedrohungen;

    3. das Verfahren zur Ermittlung, Implementierung und Dokumentation von Maßnahmen für die Behandlung von IKT-Risiken mit Blick auf die ermittelten und bewerteten IKT-Risiken, einschließlich der Festlegung von Maßnahmen für die Behandlung von IKT-Risiken, die erforderlich sind, um diese unter die Risikotoleranzschwelle nach Buchstabe a zu senken;

    4. für IKT-Restrisiken, die nach der Implementierung der Maßnahmen für die Behandlung von IKT-Risiken gemäß Buchstabe c weiter bestehen:

      1. Bestimmungen über die Ermittlung dieser IKT-Restrisiken,

      2. die Zuweisung von Aufgaben und Verantwortlichkeiten mit Blick auf

        1. das Eingehen von IKT-Restrisiken, die die Risikotoleranzschwelle nach Buchstabe a des Finanzunternehmens überschreiten,

        2. das Überprüfungsverfahren gemäß Buchstabe d Ziffer iv,

      3. die Erstellung eines Inventars der eingegangenen IKT-Restrisiken, einschließlich einer Begründung, weshalb sie eingegangen wurden,

      4. Bestimmungen über die Überprüfung der eingegangenen IKT-Restrisiken, die mindestens einmal jährlich vorgenommen wird, einschließlich zur

        1. Ermittlung etwaiger Änderungen der IKT-Restrisiken,

        2. Bewertung der verfügbaren Abhilfemaßnahmen,

        3. Bewertung, ob die Gründe für das Eingehen der IKT-Restrisiken zum Zeitpunkt der Überprüfung noch gültig und anwendbar sind;

    5. Bestimmungen über die Überwachung

      1. jeglicher Änderungen der IKT-Risiken und der Cyberbedrohungslage,

      2. interner und externer Schwachstellen und Bedrohungen,

      3. des IKT-Risikos des Finanzunternehmens, damit Änderungen, die sich auf sein IKT-Risikoprofil auswirken könnten, rasch erkannt werden können;

    6. Bestimmungen über ein Verfahren, mit dem sichergestellt wird, dass alle Änderungen der Geschäftsstrategie und der Strategie für die digitale operationale Resilienz des Finanzunternehmens berücksichtigt werden.

  2. Für die Zwecke von Absatz 1 Buchstabe c stellt das dort genannte Verfahren sicher, dass

    1. die Wirksamkeit der implementierten Maßnahmen für die Behandlung von IKT-Risiken überwacht wird;

    2. bewertet wird, ob die festgelegten Risikotoleranzschwellen des Finanzunternehmens erreicht wurden;

    3. bewertet wird, ob das Finanzunternehmen tätig geworden ist, um diese Maßnahmen erforderlichenfalls zu korrigieren oder zu verbessern.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod