Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 29 Politique et mesures en matière de sécurité de l’information
Summary What does Article 29 of the RTS on ICT risk management framework say?
This article applies specifically to the smaller financial entities subject to the simplified ICT risk management framework under Article 16(1) of DORA.
It requires those entities to establish an information security policy as the foundation for their ICT security posture, from which concrete security measures must then flow.
The article acts as a gateway provision, anchoring the simplified framework by directing financial entities to the detailed security measures set out in Articles 30 to 38 of this regulation.
Important points:
- Develop, document, and implement an information security policy covering the confidentiality, integrity, availability, and authenticity of data and services.
- Use that policy as the basis for establishing and implementing ICT security measures, including those carried out by ICT third-party service providers.
- The ICT security measures required must encompass all measures specified in Articles 30 to 38 of this regulation.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554 élaborent, documentent et mettent en œuvre une politique de sécurité de l’information dans le contexte du cadre simplifié de gestion du risque lié aux TIC. Cette politique de sécurité de l’information précise les principes et règles généraux visant à protéger la confidentialité, l’intégrité, la disponibilité et l’authenticité des données et des services fournis par ces entités financières.
Sur la base de leur politique en matière de sécurité de l’information visée au paragraphe 1, les entités financières visées au paragraphe 1 établissent et mettent en œuvre des mesures de sécurité des TIC pour atténuer leur exposition au risque lié aux TIC, y compris des mesures d’atténuation mises en œuvre par des prestataires tiers de services TIC.
Les mesures de sécurité des TIC comprennent toutes les mesures visées aux articles 30 à 38.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)