Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 4 Politique de gestion des actifs de TIC

Summary What does Article 4 of the RTS on ICT risk management framework say?

This article requires financial entities to develop, document, and implement a formal policy for managing ICT assets, sitting within the broader ICT security framework established under Article 9(2) of DORA.

It builds directly on the asset identification and classification work required by Article 8(1) of DORA, translating that classification into concrete record-keeping and lifecycle management obligations.

The core thrust is that financial entities must maintain detailed, structured records about every ICT asset they hold, covering everything from ownership and location to business continuity requirements and third-party support end dates.

Important points:

  • Develop, document, and implement a policy for ICT asset management that covers the full lifecycle of all identified and classified ICT assets.
  • Keep comprehensive records for each ICT asset, including its unique identifier, location, owner, supported business functions, continuity requirements, internet exposure, and interdependencies with other assets.
  • Financial entities other than microenterprises must also maintain records sufficient to perform an ICT risk assessment on all legacy ICT systems still in use.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre une politique de gestion des actifs de TIC.

    1. La politique de gestion des actifs de TIC visée au paragraphe 1:

      1. prescrit le suivi et la gestion du cycle de vie des actifs de TIC identifiés et classés conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554;

      2. prescrit la tenue par l’entité financière d’un registre de tous les éléments suivants:

        1. l’identifiant unique de chaque actif de TIC;

        2. des informations sur la localisation, physique ou logique, de tous les actifs de TIC;

        3. le classement de tous les actifs de TIC, tel que prévu par l’article 8, paragraphe 1, du règlement (UE) 2022/2254;

        4. l’identité des propriétaires d’actifs de TIC;

        5. les fonctions ou services «métiers» soutenus par l’actif de TIC;

        6. les exigences en matière de continuité des activités de TIC, notamment les objectifs en matière de délai de rétablissement et de point de rétablissement;

        7. une mention précisant si l’actif de TIC est ou peut être exposé à des réseaux externes, y compris l’internet;

        8. les liens et interdépendances existant entre les actifs de TIC et les fonctions «métiers» qui utilisent chacun de ces actifs;

        9. le cas échéant, pour tous les actifs de TIC, les dates d’expiration des services d’appui réguliers, étendus et sur mesure fournis par des prestataires tiers de services TIC, après lesquelles ces actifs de TIC ne sont plus pris en charge par leur fournisseur ou par un prestataire tiers de services TIC;

      3. prescrit la tenue, par les entités financières autres que des microentreprises, d’un registre des informations nécessaires pour procéder à l’évaluation spécifique du risque lié aux TIC sur tous les systèmes de TIC hérités prévue par l’article 8, paragraphe 7, du règlement (UE) 2022/2554.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod