Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 37 Beschaffung, Entwicklung und Wartung von IKT-Systemen
Summary What does Article 37 of the RTS on ICT risk management framework say?
This article applies specifically to the financial entities subject to the simplified ICT risk management framework under Article 16(1) of DORA.
It requires those entities to put in place a procedure for how they acquire, develop, and maintain ICT systems, following a risk-based approach.
The procedure must address three core areas: pre-acquisition requirements gathering, testing and approval before go-live, and safeguards against tampering during development and deployment.
Important points:
- Design and implement a procedure for the acquisition, development, and maintenance of ICT systems using a risk-based approach.
- Ensure that functional, non-functional, and information security requirements are specified and approved by the relevant business function before any acquisition or development begins.
- Put measures in place to protect ICT systems from unintentional alteration or intentional manipulation during development and production deployment.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen konzipieren und implementieren, sofern angemessen, ein Verfahren für die Beschaffung, Entwicklung und Wartung von IKT-Systemen entsprechend einem risikobasierten Ansatz. Dieses Verfahren muss
sicherstellen, dass die funktionalen und nichtfunktionalen Anforderungen, insbesondere auch die Anforderungen an die Informationssicherheit, von der betreffenden Unternehmensfunktion klar spezifiziert und genehmigt werden, bevor IKT-Systeme beschafft oder entwickelt werden;
sicherstellen, dass IKT-Systeme vor ihrer erstmaligen Nutzung und vor der Einführung von Änderungen an der Produktionsumgebung getestet und genehmigt werden;
Maßnahmen zur Minderung des Risikos einer unbeabsichtigten Veränderung oder einer vorsätzlichen Manipulation der IKT-Systeme während der Entwicklung und Implementierung in der Produktionsumgebung vorsehen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.