Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 36 IKT-Sicherheitstests
Summary What does Article 36 of the RTS on ICT risk management framework say?
This article sits within the simplified ICT risk management framework applicable to smaller financial entities under Article 16(1) of DORA, and directly validates the ICT security measures established across several other articles in that framework.
It requires financial entities to establish and implement an ICT security testing plan, grounded in the threats and vulnerabilities already identified through the simplified risk management process.
The article follows a logical cycle: build security measures, test them, evaluate the results, and update accordingly.
Important points:
- Establish and implement an ICT security testing plan that reflects the threats and vulnerabilities identified under the simplified ICT risk management framework.
- Review, assess, and test ICT security measures taking into consideration the overall risk profile of your ICT assets.
- Monitor and evaluate test results and update security measures without undue delay for ICT systems supporting critical or important functions.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen erstellen und implementieren einen Plan für IKT-Sicherheitstests, um die Wirksamkeit ihrer gemäß den Artikeln 33, 34 und 35 sowie 37 und 38 der vorliegenden Verordnung entwickelten IKT-Sicherheitsmaßnahmen zu bestätigen. Die Finanzunternehmen stellen sicher, dass in diesem Plan Bedrohungen und Schwachstellen berücksichtigt werden, die im Zuge des in Artikel 31 genannten vereinfachten IKT-Risikomanagementrahmens ermittelt wurden.
Die in Absatz 1 genannten Finanzunternehmen überprüfen, bewerten und testen IKT-Sicherheitsmaßnahmen unter Berücksichtigung des Gesamtrisikoprofils der IKT-Assets des Finanzunternehmens.
Die in Absatz 1 genannten Finanzunternehmen überwachen und evaluieren die Ergebnisse der Sicherheitstests und bringen ihre Sicherheitsmaßnahmen im Falle von IKT-Systemen zur Unterstützung kritischer oder wichtiger Funktionen unverzüglich entsprechend auf Stand.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
IKT-Asset
(En. ICT asset)
Definition
Schwachstelle
(En. vulnerability)