Source: OJ L, 2024/1774, 25.6.2024Current language: DE
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 38 IKT-Projekt- und -Änderungsmanagement
Summary What does Article 38 of the RTS on ICT risk management framework say?
This article sits within the simplified ICT risk management framework for the smaller financial entities referred to in Article 16(1) of DORA, and it sets out two closely related procedural obligations: ICT project management and ICT change management.
Rather than prescribing detailed content requirements, it focuses on the existence and implementation of these procedures, requiring that they span the full lifecycle of projects and changes respectively.
It is the simplified-framework counterpart to the more detailed project and change management provisions that apply to larger financial entities elsewhere in this regulation.
Important points:
- Develop, document, and implement an ICT project management procedure that covers all stages of ICT projects from initiation to closure, with clearly specified roles and responsibilities.
- Develop, document, and implement an ICT change management procedure ensuring all changes to ICT systems are recorded, tested, assessed, approved, implemented, and verified in a controlled manner.
- Both obligations apply to the financial entities referred to in Article 16(1) of Regulation (EU) 2022/2554, i.e., those subject to the simplified ICT risk management framework.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die in Artikel 16 Absatz 1 der Verordnung (EU) 2022/2554 genannten Finanzunternehmen erarbeiten, dokumentieren und implementieren ein IKT-Projektmanagementverfahren und legen die Aufgaben und Zuständigkeiten für dessen Umsetzung fest. Dieses Verfahren erstreckt sich auf alle Phasen der IKT-Projekte von ihrer Einleitung bis zu ihrem Abschluss.
Die in Absatz 1 genannten Finanzunternehmen entwickeln, dokumentieren und implementieren ein Verfahren für das IKT-Änderungsmanagement, um sicherzustellen, dass alle Änderungen an IKT-Systemen auf kontrollierte Weise und mit angemessenen Schutzvorkehrungen aufgezeichnet, getestet, bewertet, genehmigt, implementiert und verifiziert werden, um die digitale operationale Resilienz des Finanzunternehmens zu wahren.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
digitale operationale Resilienz
(En. digital operational resilience)
Definition
Netzwerk- und Informationssystem
(En. network and information system)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
IKT-Dienstleistungen
(En. ICT services)