Art. 34 Sécurité des opérations de TIC | RTS on ICT risk management framework | DORA

This article sits within the simplified ICT risk management framework, applying to the subset of financial entities covered by Article 16(1) of DORA.

It lays out a broad set of operational requirements for how those entities must manage and oversee their ICT assets on an ongoing basis.

The article covers the full operational spectrum: from lifecycle and capacity management, to vulnerability scanning, legacy asset risk, event logging, anomaly detection, and cyber threat monitoring.

It is essentially the operational backbone of the simplified framework, translating the risk identification work required by Article 31 into concrete day-to-day technical controls.

Important points:

Perform automated vulnerability scanning of ICT assets, scaled to their classification and risk profile, and deploy patches to address any vulnerabilities identified.
Log events across logical and physical access control, ICT operations, network traffic, and change management, ensuring the level of detail in those logs is aligned to the purpose and usage of the asset producing them.
Implement measures to detect anomalous activities, monitor cyber threats, and identify information leakages, malicious code, and publicly known vulnerabilities in software and hardware.

Dans le cadre de leurs systèmes, protocoles et outils, et pour tous les actifs de TIC, les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554:
1. suivent et gèrent le cycle de vie de tous les actifs de TIC;
2. surveillent si les actifs de TIC sont pris en charge par des prestataires tiers de services TIC des entités financières, le cas échéant;
3. définissent les besoins en capacités de leurs actifs de TIC et les mesures visant à maintenir et à améliorer la disponibilité et l’efficacité des systèmes de TIC et à prévenir les déficits de capacités en matière de TIC avant qu’ils ne se concrétisent;
4. effectuent des scans et évaluations automatisés des vulnérabilités des actifs de TIC de façon proportionnée à leur classification visée à l’article 30, paragraphe 1, et au profil de risque global de l’actif de TIC, et déploient des correctifs pour remédier aux vulnérabilités identifiées;
5. gèrent les risques liés aux actifs de TIC obsolètes, non pris en charge ou hérités;
6. journalisent les événements liés au contrôle des accès logiques et physiques, aux opérations de TIC, y compris aux activités liées aux systèmes et au trafic réseau, et à la gestion des changements dans les TIC;
7. définissent et mettent en œuvre des mesures de suivi et d’analyse des informations sur les activités et comportements anormaux pour les opérations de TIC critiques ou importantes;
8. mettent en œuvre des mesures de suivi des informations pertinentes et actualisées sur les cybermenaces;
9. mettent en œuvre des mesures visant à détecter les éventuelles fuites d’informations, les codes malveillants et les autres menaces pour la sécurité, ainsi que les vulnérabilités de notoriété publique dans les logiciels et le matériel, et vérifient la disponibilité de nouvelles mises à jour de sécurité correspondantes.
Aux fins du point f), les entités financières adaptent le niveau de détail des journaux en fonction de leur finalité et de leur utilisation des actifs de TIC produisant ces journaux.