Art. 34 IKT-Betriebssicherheit | RTS on ICT risk management framework | DORA

This article sits within the simplified ICT risk management framework, applying to the subset of financial entities covered by Article 16(1) of DORA.

It lays out a broad set of operational requirements for how those entities must manage and oversee their ICT assets on an ongoing basis.

The article covers the full operational spectrum: from lifecycle and capacity management, to vulnerability scanning, legacy asset risk, event logging, anomaly detection, and cyber threat monitoring.

It is essentially the operational backbone of the simplified framework, translating the risk identification work required by Article 31 into concrete day-to-day technical controls.

Important points:

Perform automated vulnerability scanning of ICT assets, scaled to their classification and risk profile, and deploy patches to address any vulnerabilities identified.
Log events across logical and physical access control, ICT operations, network traffic, and change management, ensuring the level of detail in those logs is aligned to the purpose and usage of the asset producing them.
Implement measures to detect anomalous activities, monitor cyber threats, and identify information leakages, malicious code, and publicly known vulnerabilities in software and hardware.

Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen müssen im Rahmen ihrer Systeme, Protokolle und Tools sowie bei allen IKT-Assets
1. den Lebenszyklus aller IKT-Assets überwachen und managen;
2. überwachen, ob die IKT-Assets von IKT-Drittdienstleistern der Finanzunternehmen unterstützt werden, sofern anwendbar;
3. die Kapazitätsanforderungen ihrer IKT-Assets und Maßnahmen ermitteln, um die Verfügbarkeit und Effizienz der IKT-Systeme zu wahren und zu verbessern und IKT-Kapazitätsengpässen vorzubeugen, bevor sie auftreten;
4. eine automatisierte Schwachstellensuche sowie Bewertungen der IKT-Assets durchführen, die der in Artikel 30 Absatz 1 genannten Klassifizierung und dem Gesamtrisikoprofil des betreffenden IKT-Assets angemessen sind, und Patches zur Behebung ermittelter Schwachstellen installieren;
5. die mit veralteten oder nicht unterstützten IKT-Assets oder mit IKT-Altsystemen verbundenen Risiken managen;
6. Vorfälle im Zusammenhang mit der logischen und physischen Zugangskontrolle, dem IKT-Betrieb, einschließlich System- und Netzwerkverkehr, sowie dem IKT-Änderungsmanagement protokollieren;
7. Maßnahmen ermitteln und umsetzen, um Informationen über anomale Aktivitäten und anomales Verhalten bei kritischen oder wichtigen IKT-Vorgängen zu überwachen und zu analysieren;
8. Maßnahmen zur Überwachung relevanter und aktueller Informationen über Cyberbedrohungen umsetzen;
9. Maßnahmen zur Erkennung etwaiger Informationslecks, Schadcodes und anderer Sicherheitsbedrohungen sowie öffentlich bekannter Schwachstellen in Software und Hardware umsetzen und die Verfügbarkeit entsprechender neuer Sicherheitsupdates prüfen.
Für die Zwecke von Buchstabe f stimmen die Finanzunternehmen den Detaillierungsgrad der Protokolle auf deren Zweck und auf die Nutzung des IKT-Assets ab, der diese Protokolle produziert.