Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 31 IKT-Risikomanagement
Summary What does Article 31 of the RTS on ICT risk management framework say?
This article sits within the simplified ICT risk management framework applicable to the smaller financial entities referenced in Article 16(1) of DORA, and it sets out the core risk management obligations those entities must embed into that framework.
Rather than prescribing a fully elaborate governance structure, it focuses on the practical cycle of risk management: establishing tolerance levels, identifying and assessing risks, defining mitigation strategies for risks that fall outside those tolerances, and monitoring their effectiveness.
Notably, the article also requires these entities to reassess ICT and information security risks following major changes or major incidents, and to continuously monitor threats and vulnerabilities relevant to their critical or important functions.
Important points:
- Include risk tolerance levels, risk identification and assessment, mitigation strategies, and ongoing monitoring within your simplified ICT risk management framework.
- Carry out and document ICT risk assessments periodically, with the frequency aligned to your ICT risk profile, and reassess risks following major system changes or major ICT-related incidents.
- Set out alert thresholds and criteria to trigger ICT-related incident response processes.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen nehmen in ihren vereinfachten IKT-Risikomanagementrahmen alles Folgende auf:
eine Bestimmung der Risikotoleranzschwellen für das IKT-Risiko im Einklang mit der Risikobereitschaft des Finanzunternehmens;
die Ermittlung und Bewertung der IKT-Risiken, denen das Finanzunternehmen ausgesetzt ist;
die Festlegung von Abmilderungsstrategien zumindest für die IKT-Risiken, die jenseits der Risikotoleranzschwellen des Finanzunternehmens liegen;
die Überwachung der Wirksamkeit der unter Buchstabe c genannten Abmilderungsstrategien;
die Ermittlung und Bewertung etwaiger IKT- und Informationssicherheitsrisiken, die sich aus größeren Veränderungen des IKT-Systems oder der IKT-Dienstleistungen, -Prozesse oder -Verfahren sowie aus den Testergebnissen in Bezug auf die IKT-Sicherheit und nach schwerwiegenden IKT-bezogenen Vorfällen ergeben.
Die in Absatz 1 genannten Finanzunternehmen führen die IKT-Risikobewertung dem IKT-Risikoprofil der Finanzunternehmen entsprechend regelmäßig durch und dokumentieren sie.
Die in Absatz 1 genannten Finanzunternehmen überwachen fortlaufend Bedrohungen und Schwachstellen, die für ihre kritischen oder wichtigen Funktionen sowie für Informations- und IKT-Assets relevant sind und überprüfen regelmäßig die Risikoszenarien, die sich auf diese kritischen oder wichtigen Funktionen auswirken.
Die in Absatz 1 genannten Finanzunternehmen legen Alarmschwellen und -kriterien für die Auslösung und Einleitung von Reaktionsprozessen bei IKT-bezogenen Vorfällen fest.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
kritische oder wichtige Funktion
(En. critical or important function)
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
IKT-Asset
(En. ICT asset)
Definition
IKT-Dienstleistungen
(En. ICT services)
Definition
IKT-Risiko
(En. ICT risk)
Definition
Schwachstelle
(En. vulnerability)