Art. 15 Ytterligare harmonisering av verktyg, metoder, processer och strategier för IKT-riskhantering | DORA regulation | DORA

This article is a technical standard-setting mandate directed at the ESAs, instructing them to develop, in consultation with ENISA, common regulatory technical standards that flesh out the practical details of obligations already established in earlier articles of the regulation.

Rather than creating new rules itself, Article 15 acts as a delegation mechanism that builds directly on Articles 6, 9, 10, and 11, tasking the ESAs with translating those high-level requirements into concrete, workable standards covering areas such as ICT security policies, access management, incident detection, business continuity, and risk management framework reporting.

The Commission is then empowered to formally adopt these standards.

Important points:

The ESAs are required to develop and submit draft regulatory technical standards to the Commission by 17 January 2024.
When drafting these standards, the ESAs must take into account the size, risk profile, and complexity of financial entities, as well as sector-specific characteristics.
Power is delegated to the Commission to adopt these regulatory technical standards, giving them binding legal force across the regulation.

De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med Europeiska unionens cybersäkerhetsbyrå (Enisa), utarbeta gemensamma förslag till tekniska standarder för tillsyn i syfte att
1. närmare specificera delar som ska ingå i de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i syfte att säkerställa säkerheten i nätverk, möjliggöra lämpliga skyddsåtgärder mot intrång och missbruk av uppgifter, bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet, inbegripet krypteringsmetoder, och garantera en korrekt och snabb dataöverföring utan allvarliga avbrott och onödiga dröjsmål,
2. utveckla ytterligare komponenter i den hantering av kontroll av åtkomsträttigheter som avses i artikel 9.4 c och tillhörande personalpolitik där det specificeras åtkomsträttigheter, förfaranden för beviljande och återkallande av rättigheter, övervakning av onormalt beteende i förhållande till IKT-risk genom lämpliga indikatorer, inbegripet mönster för nätanvändning, tidpunkter, it-verksamhet och okänd utrustning,
3. vidareutveckla de mekanismer som anges i artikel 10.1 för att möjliggöra en snabb upptäckt av onormal verksamhet och de kriterier som fastställs i artikel 10.2 som utlöser processer för upptäckt och hantering av IKT-relaterade incidenter,
4. närmare specificera komponenterna i den IKT-kontinuitetspolicy som avses i artikel 11.1,
5. närmare specificera de tester av IKT-kontinuitetsplaner som avses i artikel 11.6 för att säkerställa att det vid sådan testning tas tillräckligt stor hänsyn till scenarier där kvaliteten på tillhandahållandet av en kritisk eller viktig funktion försämras till en oacceptabel nivå eller tillhandahållandet avbryts, och till de potentiella konsekvenserna av insolvens eller andra fel hos en relevant tredjepartsleverantör av IKT-tjänster och, i förekommande fall, de politiska riskerna i respektive leverantörers jurisdiktioner,
6. närmare specificera komponenterna i de åtgärds- och återställningsplaner avseende IKT som avses i artikel 11.3,
7. närmare specificera innehållet i och formatet för den rapport om översynen av IKT-riskhanteringsramen som avses i artikel 6.5.
När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de beakta den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser, samtidigt som vederbörlig hänsyn tas till eventuella särdrag som härrör från den särskilda karaktären på verksamheten i olika sektorer för finansiella tjänster.
De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.
Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.