Art. 4 Richtlinie für das Management von IKT-Assets | RTS on ICT risk management framework | DORA

This article requires financial entities to develop, document, and implement a formal policy for managing ICT assets, sitting within the broader ICT security framework established under Article 9(2) of DORA.

It builds directly on the asset identification and classification work required by Article 8(1) of DORA, translating that classification into concrete record-keeping and lifecycle management obligations.

The core thrust is that financial entities must maintain detailed, structured records about every ICT asset they hold, covering everything from ownership and location to business continuity requirements and third-party support end dates.

Important points:

Develop, document, and implement a policy for ICT asset management that covers the full lifecycle of all identified and classified ICT assets.
Keep comprehensive records for each ICT asset, including its unique identifier, location, owner, supported business functions, continuity requirements, internet exposure, and interdependencies with other assets.
Financial entities other than microenterprises must also maintain records sufficient to perform an ICT risk assessment on all legacy ICT systems still in use.

1. Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools eine Richtlinie für das Management von IKT-Assets.
1. Die in Absatz 1 genannte Richtlinie für das Management von IKT-Assets enthält
  1. Vorschriften für die Überwachung und das Management des Lebenszyklus von IKT-Assets, die gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2554 ermittelt und klassifiziert werden;
  2. Vorschriften, wonach das Finanzunternehmen in seinen Aufzeichnungen Folgendes erfasst:
    die eindeutige Kennung jedes IKT-Assets,
    Informationen über den physischen oder logischen Standort aller IKT-Assets,
    die Klassifizierung aller IKT-Assets gemäß Artikel 8 Absatz 1 der Verordnung (EU) 2022/2254,
    die Identität der Eigentümer von IKT-Assets,
    die Unternehmensfunktionen oder -dienstleistungen, die durch das IKT-Asset unterstützt werden,
    die für die IKT-Geschäftsfortführung geltenden Anforderungen, einschließlich der Vorgaben für die Wiederherstellungszeit und die Wiederherstellungspunkte,
    die Möglichkeit eines Zugriffs auf das IKT-Asset über externe Netzwerke, einschließlich des Internets,
    die Verbindungen und Interdependenzen zwischen IKT-Assets und den Unternehmensfunktionen, die die einzelnen IKT-Assets nutzen,
    für alle IKT-Assets gegebenenfalls die Fristen bis zum Ende des Zeitraums, in dem die regelmäßigen, erweiterten und kundenspezifischen Unterstützungsdienstleistungen des IKT-Drittdienstleisters bereitgestellt werden und nach dem diese IKT-Assets nicht mehr von ihrem Anbieter oder einem IKT-Drittdienstleister unterstützt werden;
  3. Vorschriften für Finanzunternehmen, bei denen es sich nicht um Kleinstunternehmen handelt, wonach diese Finanzunternehmen Aufzeichnungen über die Informationen führen, die für die Durchführung einer spezifischen IKT-Risikobewertung aller IKT-Altsysteme nach Artikel 8 Absatz 7 der Verordnung (EU) 2022/2554 erforderlich sind.