Source: OJ L, 2024/1774, 25.6.2024

Current language: DE

Artikel 8 Richtlinien und Verfahren für IKT-Vorgänge

Summary What does Article 8 of the RTS on ICT risk management framework say?

This article sits within the broader ICT security framework established under Article 9(2) of DORA and focuses specifically on the operational management of ICT systems.

It requires financial entities to develop, document, and implement policies and procedures that govern how they operate, monitor, control, and restore their ICT assets.

The article covers three core operational areas: asset description and lifecycle management, system controls and monitoring, and error handling.

Notably, it addresses the sensitive topic of testing in production environments, imposing strict conditions on when and how this is permitted, linking directly to requirements set out in Article 16(6) of this regulation.

Important points:

  • Develop, document, and implement ICT operations policies covering asset management, system controls and monitoring, and error handling procedures.
  • Separate production environments from development and testing environments across all components, including accounts, data, and connections.
  • Testing in production environments is only permitted in clearly identified and reasoned instances, for limited periods, and must be approved by the relevant function.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Die Finanzunternehmen entwickeln, dokumentieren und implementieren im Rahmen der in Artikel 9 Absatz 2 der Verordnung (EU) 2022/2554 genannten IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools Richtlinien und Verfahren für das Management der IKT-Vorgänge. In diesen Richtlinien und Verfahren wird festgelegt, wie Finanzunternehmen ihre IKT-Assets betreiben, überwachen, kontrollieren und wiederherstellen, einschließlich der Dokumentation der IKT-Vorgänge.

    1. Die in Absatz 1 genannten Richtlinien und Verfahren für IKT-Vorgänge enthalten alle folgenden Elemente:

      1. eine Beschreibung der IKT-Assets, einschließlich aller folgenden Elemente:

        1. Anforderungen an die sichere Installation, Wartung, Konfiguration und Deinstallation eines IKT-Systems,

        2. Anforderungen an das Management von Informationsassets, die von IKT-Assets genutzt werden, einschließlich ihrer automatisierten und manuellen Verarbeitung und Behandlung,

        3. Anforderungen an die Ermittlung und Kontrolle von IKT-Altsystemen;

      2. Kontrollen und Überwachung für IKT-Systeme, einschließlich aller folgenden Elemente:

        1. Anforderungen an die Sicherung und Wiederherstellung von IKT-Systemen,

        2. Anforderungen an zeitliche Abläufe unter Berücksichtigung der Interdependenzen zwischen den IKT-Systemen,

        3. Protokolle für Prüfpfad- und Systemprotokollinformationen,

        4. Anforderungen, mit denen sichergestellt wird, dass bei der Durchführung einer internen Prüfung und anderer Tests Störungen des Geschäftsbetriebs minimiert werden,

        5. Anforderungen an die Trennung von IKT-Produktionsumgebungen von Entwicklungs-, Test- und anderen Nicht-Produktionsumgebungen,

        6. Anforderungen hinsichtlich der Durchführung von Entwicklungs- und Testtätigkeiten in Umgebungen, die von der Produktionsumgebung getrennt sind,

        7. Anforderungen im Zusammenhang mit Situationen, in denen die Entwicklungs- und Testtätigkeiten in Produktionsumgebungen durchgeführt werden;

      3. Fehlerbehandlung bei IKT-Systemen, einschließlich aller folgenden Elemente:

        1. Verfahren und Protokolle für die Fehlerbehandlung,

        2. Unterstützung und Ansprechpartner im Eskalationsfall, einschließlich externer Ansprechpartner für die Unterstützung im Falle unerwarteter operationaler oder technischer Probleme,

        3. Verfahren für den Neustart, das Zurücksetzen und die Wiederherstellung von IKT-Systemen im Falle einer Störung des IKT-Systems.

    2. Für die Zwecke von Buchstabe b Ziffer v werden bei der Trennung alle Komponenten der Umgebung berücksichtigt, einschließlich Konten, Daten oder Verbindungen, wie in Artikel 13 Absatz 1 Buchstabe a festgelegt.

    3. Für die Zwecke von Buchstabe b Ziffer vii ist in den in Absatz 1 genannten Richtlinien und Verfahren vorzusehen, dass die Fälle, in denen Tests in einer Produktionsumgebung durchgeführt werden, eindeutig zu identifizieren, zu begründen und zeitlich zu begrenzen sind und von der betreffenden Funktion im Einklang mit Artikel 16 Absatz 6 genehmigt werden. Die Finanzunternehmen stellen während der Entwicklungs- und Testtätigkeiten in der Produktionsumgebung die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität von IKT-Systemen und -Produktionsdaten sicher.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod