Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 31 Gestion du risque lié aux TIC
Summary What does Article 31 of the RTS on ICT risk management framework say?
This article sits within the simplified ICT risk management framework applicable to the smaller financial entities referenced in Article 16(1) of DORA, and it sets out the core risk management obligations those entities must embed into that framework.
Rather than prescribing a fully elaborate governance structure, it focuses on the practical cycle of risk management: establishing tolerance levels, identifying and assessing risks, defining mitigation strategies for risks that fall outside those tolerances, and monitoring their effectiveness.
Notably, the article also requires these entities to reassess ICT and information security risks following major changes or major incidents, and to continuously monitor threats and vulnerabilities relevant to their critical or important functions.
Important points:
- Include risk tolerance levels, risk identification and assessment, mitigation strategies, and ongoing monitoring within your simplified ICT risk management framework.
- Carry out and document ICT risk assessments periodically, with the frequency aligned to your ICT risk profile, and reassess risks following major system changes or major ICT-related incidents.
- Set out alert thresholds and criteria to trigger ICT-related incident response processes.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554 incluent dans leur cadre simplifié de gestion du risque lié aux TIC l’ensemble des éléments suivants:
une détermination des niveaux de tolérance au risque lié aux TIC, en fonction de l’appétit pour le risque de l’entité financière;
l’identification et l’évaluation des risques liés aux TIC auxquels l’entité financière est exposée;
la définition de stratégies d’atténuation, au moins pour les risques liés aux TIC qui dépassent les niveaux de tolérance au risque de l’entité financière;
le suivi de l’efficacité des stratégies d’atténuation visées au point c);
l’identification et l’évaluation de tout risque lié aux TIC ou en matière de sécurité de l’information résultant de tout changement majeur dans les systèmes de TIC ou les services TIC, les processus ou les procédures, ou révélé par les résultats des tests de sécurité des TIC ou après tout incident majeur lié aux TIC.
Les entités financières visées au paragraphe 1 effectuent et documentent périodiquement l’évaluation du risque lié aux TIC, de façon proportionnée à leur profil de risque lié aux TIC.
Les entités financières visées au paragraphe 1 surveillent en permanence les menaces et les vulnérabilités qui concernent leurs fonctions critiques ou importantes, ainsi que les actifs informationnels et les actifs de TIC, et réexaminent régulièrement les scénarios de risque ayant une incidence sur ces fonctions critiques ou importantes.
Les entités financières visées au paragraphe 1 définissent des seuils d’alerte et des critères de déclenchement et de lancement des processus de réponse en cas d’incident lié aux TIC.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
actif informationnel
(En. information asset)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
incident majeur lié aux TIC
(En. major ICT-related incident)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
fonction critique ou importante
(En. critical or important function)
Definition
actif de TIC
(En. ICT asset)