Art. 5 Ändringar av direktiv 2014/59/EU | DORA directive | DORA

This article amends Directive 2014/59/EU, the Bank Recovery and Resolution Directive (BRRD), to embed digital operational resilience considerations into the resolution planning framework.

It updates the requirements around recovery and resolution plans, ensuring that institutions must now account for their network and information systems, ICT third-party dependencies, and the results of digital operational resilience testing as part of their resolvability assessments.

The article also tasks EBA with reviewing and updating its regulatory technical standards to align with DORA's requirements.

Important points:

Ensure your resolution planning documentation explicitly covers the digital operational resilience of network and information systems supporting critical functions and core business lines.
Identify critical ICT third-party service providers within your resolution planning materials, alongside system owners and service level agreements.
EBA is required to review and, where appropriate, update its regulatory technical standards to take account of the provisions of Chapter II of Regulation (EU) 2022/2554.

Direktiv 2014/59/EU ska ändras på följande sätt:

Artikel 10 ska ändras på följande sätt:
1. I punkt 7 ska led c ersättas med följande:
  ”En beskrivning av hur kritiska funktioner och kärnaffärsområden, i den utsträckning som krävs, skulle kunna avskiljas juridiskt och ekonomiskt från övriga funktioner för att säkerställa fortsatt verksamhet och digital operativ motståndskraft efter institutets fallissemang.”
2. I punkt 7 ska led q ersättas med följande:
  ”En beskrivning av grundläggande operationer och system för kontinuerlig drift av institutets operativa processer, inbegripet nätverks- och informationssystem som avses i Europaparlamentets och rådets förordning (EU) 2022/2554(¹⁹).
3. I punkt 9 ska följande stycke läggas till:
  ”I enlighet med artikel 10 i förordning (EU) nr 1093/2010 ska EBA se över och vid behov uppdatera de tekniska standarderna för tillsyn i syfte att bland annat ta hänsyn till bestämmelserna i kapitel II i förordning (EU) 2022/2554.”
Bilagan ska ändras på följande sätt:
1. I avsnitt A ska punkt 16 ersättas med följande:
  ”Arrangemang och åtgärder som är nödvändiga för att fortlöpande upprätthålla institutets operativa verksamhet, inbegripet nätverks- och informationssystem som inrättas och förvaltas i enlighet med förordning (EU) 2022/2554.”
2. Avsnitt B ska ändras på följande sätt:
  Punkt 14 ska ersättas med följande:
  ”Uppgifter om ägarna till de system som avses i led 13, tillhörande servicenivåavtal och alla datorprogram, system eller verksamhetstillstånd, inklusive per juridiska enheter, kritisk verksamhet och centrala affärsområden samt uppgifter om kritiska tredjepartsleverantörer av IKT-tjänster enligt definitionen i artikel 3.23 i förordning (EU) 2022/2554.”
  Följande punkt ska införas:
  ”Resultaten av institutionernas testning av digital operativ motståndskraft enligt förordning (EU) 2022/2554.”
3. Avsnitt C ska ändras på följande sätt:
  Punkt 4 ska ersättas med följande:
  ”I vilken mån serviceavtal, inbegripet kontraktsmässiga arrangemang som rör användningen av IKT-tjänster, som institutet ingått är solida och kan hävdas om institutet avvecklas.”
  Följande punkt ska införas:
  ”Den digitala operativa motståndskraften hos de nätverks- och informationssystem som stöder institutets kritiska funktioner och kärnaffärsområden, med beaktande av rapporter om allvarliga IKT-relaterade incidenter och resultaten av testning av digital operativ motståndskraft enligt förordning (EU) 2022/2554.”