Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 36 Tests de sécurité des TIC
Summary What does Article 36 of the RTS on ICT risk management framework say?
This article sits within the simplified ICT risk management framework applicable to smaller financial entities under Article 16(1) of DORA, and directly validates the ICT security measures established across several other articles in that framework.
It requires financial entities to establish and implement an ICT security testing plan, grounded in the threats and vulnerabilities already identified through the simplified risk management process.
The article follows a logical cycle: build security measures, test them, evaluate the results, and update accordingly.
Important points:
- Establish and implement an ICT security testing plan that reflects the threats and vulnerabilities identified under the simplified ICT risk management framework.
- Review, assess, and test ICT security measures taking into consideration the overall risk profile of your ICT assets.
- Monitor and evaluate test results and update security measures without undue delay for ICT systems supporting critical or important functions.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554 établissent et mettent en œuvre un plan de tests de sécurité des TIC afin de confirmer l’efficacité de leurs mesures de sécurité des TIC élaborées conformément aux articles 33, 34 et 35 et aux articles 37 et 38 du présent règlement. Les entités financières veillent à ce que ce plan tienne compte des menaces et des vulnérabilités identifiées au titre du cadre simplifié de gestion du risque lié aux TIC visé à l’article 31 du présent règlement.
Les entités financières visées au paragraphe 1 examinent, évaluent et testent les mesures de sécurité des TIC, en tenant compte du profil de risque global des actifs de TIC de l’entité financière.
Les entités financières visées au paragraphe 1 suivent et évaluent les résultats des tests de sécurité et mettent à jour leurs mesures de sécurité en conséquence, sans retard injustifié, lorsque les systèmes de TIC concernés soutiennent des fonctions critiques ou importantes.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
fonction critique ou importante
(En. critical or important function)
Definition
actif de TIC
(En. ICT asset)