Art. 8 Identification | DORA regulation | DORA

Article 8 sits within the ICT risk management framework established by Article 6 and deals with identification — the foundational "know what you have" obligation.

Financial entities are required to identify, classify, document, and continuously monitor their ICT assets, information assets, risk sources, and third-party dependencies.

The article also mandates the creation and upkeep of inventories capturing these elements, and requires risk assessments whenever major changes occur to infrastructure or processes.

A specific obligation targets legacy ICT systems, requiring regular dedicated risk assessments for systems that are end-of-life but still in use.

Important points:

Identify, classify, document, and map all ICT and information assets — including remote sites, hardware, and interdependencies — and maintain live inventories that are updated upon any major change.
Continuously identify ICT risk sources and assess cyber threats and vulnerabilities, with formal reviews conducted at least yearly; financial entities other than microenterprises must also perform a risk assessment upon each major infrastructure or process change.
Financial entities other than microenterprises must conduct a specific ICT risk assessment on all legacy ICT systems at least yearly and before and after connecting them to other technologies or systems.

1. Aux fins du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1, les entités financières identifient, classent et documentent de manière adéquate toutes les fonctions «métiers», tous les rôles et toutes les responsabilités s’appuyant sur les TIC, les actifs informationnels et les actifs de TIC qui soutiennent ces fonctions, ainsi que leurs rôles et dépendances en ce qui concerne le risque lié aux TIC. Les entités financières examinent si nécessaire, et au moins une fois par an, le caractère adéquat de cette classification et de toute documentation pertinente.
1. Les entités financières identifient, de manière continue, toutes les sources de risque lié aux TIC, en particulier l’exposition au risque vis-à-vis d’autres entités financières et émanant de celles-ci, et évaluent les cybermenaces et les vulnérabilités des TIC qui concernent leurs fonctions «métiers» s’appuyant sur les TIC, leurs actifs informationnels et leurs actifs de TIC. Les entités financières examinent régulièrement, et au moins une fois par an, les scénarios de risque qui ont des incidences sur elles.
1. Les entités financières, autres que les microentreprises, procèdent à une évaluation des risques à chaque modification importante de l’infrastructure du réseau et du système d’information, des processus ou des procédures, qui affecte leurs fonctions «métiers» s’appuyant sur les TIC, leurs actifs informationnels ou leurs actifs de TIC.
1. Les entités financières identifient tous les actifs informationnels et actifs de TIC, y compris ceux situés sur des sites extérieurs, les ressources du réseau et les équipements matériels, et répertorient ceux considérés comme critiques. Elles répertorient la configuration des actifs informationnels et des actifs de TIC et les liens et interdépendances entre les différents actifs informationnels et actifs de TIC.
1. Les entités financières identifient et documentent tous les processus qui dépendent de prestataires tiers de services TIC, et identifient les interconnexions avec des prestataires tiers de services TIC qui fournissent des services qui soutiennent des fonctions critiques ou importantes.
1. Aux fins des paragraphes 1, 4 et 5, les entités financières tiennent des inventaires pertinents et les mettent à jour périodiquement et chaque fois qu’a lieu une modification importante visée au paragraphe 3.
1. Les entités financières, autres que les microentreprises, procèdent régulièrement, et au moins une fois par an, à une évaluation spécifique du risque lié aux TIC sur tous les systèmes de TIC hérités et, dans tous les cas, avant et après la connexion de technologies, d’applications ou de systèmes.