Source: OJ L 333, 27.12.2022, pp. 153–163

Current language: FR

Article 5 Modifications de la directive 2014/59/UE

Summary What does Article 5 of the DORA directive say?

This article amends Directive 2014/59/EU, the Bank Recovery and Resolution Directive (BRRD), to embed digital operational resilience considerations into the resolution planning framework.

It updates the requirements around recovery and resolution plans, ensuring that institutions must now account for their network and information systems, ICT third-party dependencies, and the results of digital operational resilience testing as part of their resolvability assessments.

The article also tasks EBA with reviewing and updating its regulatory technical standards to align with DORA's requirements.

Important points:

  • Ensure your resolution planning documentation explicitly covers the digital operational resilience of network and information systems supporting critical functions and core business lines.
  • Identify critical ICT third-party service providers within your resolution planning materials, alongside system owners and service level agreements.
  • EBA is required to review and, where appropriate, update its regulatory technical standards to take account of the provisions of Chapter II of Regulation (EU) 2022/2554.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

La directive 2014/59/UE est modifiée comme suit:

  1. L’article 10 est modifié comme suit:

    1. au paragraphe 7, le point c) est remplacé par le texte suivant:

      1. «une démonstration de la façon dont les fonctions critiques et les activités fondamentales pourraient être juridiquement et économiquement séparées des autres fonctions, dans la mesure nécessaire pour assurer leur continuité et la résilience opérationnelle numérique en cas de défaillance de l’établissement;»;

    2. au paragraphe 7, le point q) est remplacé par le texte suivant:

      1. «une description des principaux systèmes et opérations permettant de maintenir en permanence le fonctionnement des processus opérationnels de l’établissement, y compris des réseaux et des systèmes d’information visés dans le règlement (UE) 2022/2554 du Parlement européen et du Conseil(19);

    3. au paragraphe 9, l’alinéa suivant est ajouté:

      «Conformément à l’article 10 du règlement (UE) no 1093/2010, l’ABE réexamine et, le cas échéant, met à jour les normes techniques de réglementation, afin entre autres de tenir compte des dispositions du chapitre II du règlement (UE) 2022/2554.».o 1093/2010, l’ABE réexamine et, le cas échéant, met à jour les normes techniques de réglementation, afin entre autres de tenir compte des dispositions du chapitre II du règlement (UE) 2022/2554.

  2. L’annexe est modifiée comme suit:

    1. à la section A, le point 16 est remplacé par le texte suivant:

      1. «les dispositions et les mesures nécessaires pour assurer la continuité des processus opérationnels de l’établissement, y compris les réseaux et les systèmes d’information qui sont mis en place et gérés conformément au règlement (UE) 2022/2554;»;

    2. la section B est modifiée comme suit:

      1. le point 14 est remplacé par le texte suivant:

        1. «l’identification des propriétaires des systèmes visés au point 13, les accords sur le niveau de service qui s’y rattachent, et tous les logiciels, systèmes ou licences, y compris une mise en correspondance avec leurs personnes morales, les opérations critiques et les activités fondamentales, ainsi que l’identification des prestataires tiers critiques de services TIC, tels qu’ils sont définis à l’article 3, point 23), du règlement (UE) 2022/2554;»;

      2. le point suivant est inséré:

        1. «les résultats des tests de résilience opérationnelle numérique des établissements en vertu du règlement (UE) 2022/2554;»;

    3. la section C est modifiée comme suit:

      1. le point 4 est remplacé par le texte suivant:

        1. «la mesure dans laquelle les contrats de service, y compris les accords contractuels relatifs à l’utilisation de services TIC, que l’établissement a conclus sont solides et pleinement applicables en cas de résolution de l’établissement;»;

      2. le point suivant est inséré:

        1. «la résilience opérationnelle numérique des réseaux et des systèmes d’information qui soutiennent les fonctions critiques et les activités fondamentales de l’établissement, compte tenu des rapports sur les incidents majeurs liés aux TIC et des résultats des tests de résilience opérationnelle numérique en vertu du règlement (UE) 2022/2554;».

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod