Source: OJ L 333, 27.12.2022, p. 1–79

Current language: SV

Artikel 11 Åtgärder och återställande

Summary What does Article 11 of the DORA regulation say?

This article deals with ICT business continuity, sitting within the broader ICT risk management framework established by Article 6 and drawing on the identification requirements of Article 8.

It requires financial entities to put in place a comprehensive ICT business continuity policy, supported by response and recovery plans, and to embed these into their overall business continuity approach.

The article is notably detailed, covering everything from the conduct of a business impact analysis and annual testing of plans, to crisis management functions, recordkeeping during disruptions, and reporting obligations — making it one of the more operationally demanding articles in the regulation.

Important points:

  • Implement a comprehensive ICT business continuity policy, including associated response and recovery plans, and test them at least yearly.
  • Conduct a business impact analysis to assess the potential impact of severe disruptions, ensuring ICT assets and services are designed and used in alignment with its findings.
  • Central securities depositories are required to provide competent authorities with copies of ICT business continuity test results, and financial entities other than microenterprises must report estimated annual costs and losses from major ICT-related incidents upon request.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 och baserat på identifieringskraven i artikel 8 ska finansiella entiteter införa en heltäckande IKT-kontinuitetspolicy, vilken kan antas som en särskild specifik plan och utgöra en integrerad del av den finansiella entitetens övergripande kontinuitetsplan.

    1. Finansiella entiteter ska genomföra IKT-kontinuitetspolicyn genom särskilda, lämpliga och dokumenterade arrangemang, planer, förfaranden och mekanismer som syftar till att

      1. säkerställa kontinuiteten i den finansiella entitetens kritiska eller viktiga funktioner,

      2. snabbt, lämpligt och effektivt reagera på och lösa alla IKT-relaterade incidenter på ett sätt som begränsar skador och prioriterar återupptagandet av verksamhet och återställningsåtgärder,

      3. utan dröjsmål aktivera särskilda planer som möjliggör begränsningsåtgärder, processer och teknik som är anpassade till varje typ av IKT-relaterad incident och som förhindrar ytterligare skador, samt skräddarsydda åtgärds- och återställningsförfaranden som har fastställts i enlighet med artikel 12,

      4. beräkna preliminära effekter, skador och förluster,

      5. fastställa kommunikations- och krishanteringsinsatser som säkerställer att uppdaterad information överförs till all berörd intern personal och alla externa berörda parter i enlighet med artikel 14 och rapportera till behöriga myndigheter i enlighet med artikel 19.

    1. Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter genomföra åtföljande åtgärds- och återställningsplaner avseende IKT som, när det gäller andra finansiella entiteter än mikroföretag, ska bli föremål för oberoende interna granskningar.

    1. Finansiella entiteter ska införa, upprätthålla och regelbundet testa lämpliga IKT-kontinuitetsplaner, särskilt när det gäller kritiska eller viktiga funktioner som har utkontrakterats eller kontrakterats genom arrangemang med tredjepartsleverantörer av IKT-tjänster.

    1. Finansiella entiteter ska som en del av sin övergripande IKT-kontinuitetspolicy genomföra en verksamhetskonsekvensanalys av hur exponerade de är mot allvarliga störningar i verksamheten. I verksamhetskonsekvensanalysen ska finansiella entiteter bedöma vilka potentiella följder som allvarliga störningar i verksamheten kan få genom kvantitativa och kvalitativa kriterier och med hjälp av interna och externa data och scenarioanalys, beroende på vad som är lämpligt. I verksamhetskonsekvensanalysen ska hänsyn tas till kritikaliteten i de identifierade och kartlagda affärsfunktionerna, stödprocesserna, tredjepartsberoendena och informationstillgångarna, samt deras ömsesidiga beroende. Finansiella entiteter ska säkerställa att IKT-tillgångarna och IKT-tjänsterna är utformade och används i full samstämmighet med verksamhetskonsekvensanalysen, särskilt vad gäller att i tillräcklig utsträckning säkerställa reservkapaciteten för alla kritiska komponenter.

    1. Som en del av sin övergripande IKT-riskhantering ska finansiella entiteter

      1. testa IKT-kontinuitetsplanerna och åtgärds- och återställningsplanerna avseende IKT för de IKT-system som stöder alla funktioner minst en gång per år samt i samband med omfattande ändringar av de IKT-system som stöder kritiska eller viktiga funktioner,

      2. testa de kriskommunikationsplaner som har upprättats i enlighet med artikel 14.

    2. Vid tillämpning av första stycket led a ska andra finansiella entiteter än mikroföretag i testplanerna inkludera scenarier för cyberangrepp och byten mellan den primära IKT-infrastrukturen och den reservkapacitet, de säkerhetskopior och reservanläggningar som krävs för att uppfylla de skyldigheter som anges i artikel 12.

    3. Finansiella entiteter ska regelbundet se över sin IKT-kontinuitetspolicy och sina åtgärds- och återställningsplaner avseende IKT med hänsyn till resultatet av tester som har utförts i enlighet med första stycket och rekommendationer från revisionskontroller eller tillsynsgranskningar.

    1. Andra finansiella entiteter än mikroföretag ska ha en krishanteringsfunktion som, om deras IKT-kontinuitetsplaner eller åtgärds- och återställningsplaner avseende IKT aktiveras, bland annat ska innehålla tydliga förfaranden för hantering av intern och extern kriskommunikation i enlighet med artikel 14.

    1. Finansiella entiteter ska ha lättillgänglig dokumentation om den verksamhet som pågår före och under avbrott när deras IKT-kontinuitetsplaner och åtgärds- och återställningsplaner avseende IKT aktiveras.

    1. Värdepapperscentraler ska förse de behöriga myndigheterna med kopior av resultatet av IKT-kontinuitetstesterna eller liknande övningar.

    1. Andra finansiella entiteter än mikroföretag ska på begäran till de behöriga myndigheterna lämna en uppskattning av de totala årliga kostnader och förluster som orsakas av allvarliga IKT-relaterade incidenter.

    1. I enlighet med artikel 16 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010 ska de europeiska tillsynsmyndigheterna genom den gemensamma kommittén senast den 17 juli 2024 utarbeta gemensamma riktlinjer om uppskattningen av de totala årliga kostnaderna och förlusterna som avses i punkt 10.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod