Source: OJ L 333, 27.12.2022, pp. 153–163Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA directive
Artikel 4 Ändringar av direktiv 2013/36/EU
Summary What does Article 4 of the DORA directive say?
Article 4 amends Directive 2013/36/EU (the Capital Requirements Directive) to align it with DORA.
It makes several targeted changes across different provisions of that Directive, collectively ensuring that institutions' governance, business continuity, supervisory review, and third-party oversight obligations now explicitly incorporate and cross-reference DORA's requirements.
Rather than creating new standalone rules, this article effectively plugs DORA into the existing CRD framework.
Important points:
- Institutions must set up and manage network and information systems in accordance with DORA as part of their broader governance arrangements.
- Competent authorities are required to ensure that institutions' contingency and business continuity plans, including ICT-specific plans, are established, managed, and tested in accordance with Article 11 of DORA.
- Risks revealed by digital operational resilience testing under DORA must now be included within the supervisory review and evaluation process for institutions.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Direktiv 2013/36/EU ska ändras på följande sätt:
I artikel 65.3 ska led a vi ersättas med följande:
”Tredje parter till vilka enheterna i leden i–iv har gett i uppdrag att utföra uppgifter eller verksamhet, inbegripet de tredjepartsleverantörer av IKT-tjänster som avses i kapitel V i Europaparlamentets och rådets förordning (EU) 2022/2554(18).
I artikel 74.1 ska första stycket ersättas med följande:
”Instituten ska ha en robust företagsstyrning, i vilket ingår en tydlig organisationsstruktur med väldefinierade, genomlysta och konsekventa ansvarskedjor, effektiva processer för att identifiera, hantera, övervaka och rapportera risker som instituten är eller kan bli exponerade för, tillfredsställande metoder för intern kontroll, inklusive sunda administrations- och redovisningsrutiner och nätverks- och informationssystem som inrättas och förvaltas i enlighet med förordning (EU) 2022/2554, samt ersättningspolicy och ersättningspraxis som är förenliga med och främjar sund och effektiv riskhantering.”
Artikel 85.2 ska ersättas med följande:
De behöriga myndigheterna ska se till att instituten har lämpliga beredskaps- och kontinuitetspolicyer och -planer, inbegripet IKT-kontinuitetspolicyer och -planer samt IKT-relaterade åtgärds- och återställningsplaner för den teknik som de använder för meddelande av information, och att de planerna inrättas, förvaltas och testas i enlighet med artikel 11 i förordning (EU) 2022/2554, så att instituten kan fortsätta att bedriva sin verksamhet vid en allvarlig störning i verksamheten och begränsa de förluster som orsakas till följd av sådan störning.”
I artikel 97.1 ska följande led läggas till:
”risker som påvisats vid testning av digital operativ motståndskraft i enlighet med kapitel IV i förordning (EU) 2022/2554.”
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
digital operativ motståndskraft
(En. digital operational resilience)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
nätverks- och informationssystem
(En. network and information system)
Footnote 18