Artikel 16 Förenklad IKT-riskhanteringsram

Summary What does Article 16 of the DORA regulation say?

This article establishes a simplified ICT risk management regime for a specific category of smaller or exempted entities, carving them out from the fuller obligations set out in Articles 5 to 15.

Rather than leaving these entities with no obligations at all, the article replaces the detailed framework with a streamlined but still substantive set of requirements covering the essentials: maintaining a documented ICT risk management framework, monitoring ICT systems, ensuring business continuity, identifying third-party dependencies, and feeding lessons from tests and incidents back into the framework.

The ESAs are also tasked with developing regulatory technical standards to flesh out the details of this lighter-touch regime.

Important points:

If your entity falls into one of the exempted categories (such as small and non-interconnected investment firms or small institutions for occupational retirement provision), the full ICT risk management requirements of Articles 5 to 15 do not apply to you — but you must still implement a documented ICT risk management framework covering the core obligations listed in this article.
Regularly test your business continuity plans and controls, and feed the conclusions from those tests and any post-incident analysis back into your ICT risk management framework.
The ESAs are required to develop regulatory technical standards to further specify the content of the simplified framework, in consultation with ENISA.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Artiklarna 5–15 i denna förordning ska inte tillämpas på små och icke-sammanlänkade värdepappersföretag, betalningsinstitut undantagna enligt direktiv (EU) 2015/2366, institut undantagna enligt direktiv 2013/36/EU och för vilka medlemsstaterna har beslutat att inte tillämpa den möjlighet som anges i artikel 2.4 i denna förordning; institut för elektroniska pengar undantagna enligt direktiv 2009/110/EG och små tjänstepensionsinstitut.
2. Utan att det påverkar tillämpningen av första stycket ska de enheter som förtecknas i första stycket
  1. inrätta och upprätthålla en sund och dokumenterad IKT-riskhanteringsram som specificerar de mekanismer och åtgärder som syftar till att ge en snabb, effektiv och heltäckande hantering av IKT-risk, inbegripet vad gäller skyddet av relevanta fysiska komponenter och infrastrukturer,
  2. kontinuerligt övervaka alla IKT-systems säkerhet och funktion,
  3. minimera effekterna av IKT-risk genom användningen av sunda, motståndskraftiga och uppdaterade IKT-system, IKT-protokoll och IKT-verktyg som lämpar sig för att stödja utförandet av verksamheten och tillhandahållandet av tjänster och på ett tillräckligt sätt skydda konfidentialitet, tillgänglighet, integritet eller äkthet hos datan i nätverks- och informationssystemen,
  4. göra det möjligt att snabbt identifiera och upptäcka IKT-risk och avvikelser i nätverks- och informationssystemen och att snabbt hantera IKT-relaterade incidenter,
  5. identifiera de viktigaste beroendena av tredjepartsleverantörer av IKT-tjänster,
  6. säkerställa kontinuiteten för kritiska eller viktiga funktioner genom kontinuitetsplaner och åtgärds- och återställningsåtgärder, vilket bland annat innefattar säkerhetskopiering och återskapande,
  7. regelbundet testa de planer och åtgärder som avses i led f, samt effektiviteten i de kontroller som genomförts i enlighet med leden a och c,
  8. i enlighet med vad som är lämpligt genomföra relevanta operativa slutsatser som härrör från de test som avses i led g och från efteranalyser av incidenter i IKT-riskbedömningsprocessen, och utifrån behoven och IKT-riskprofilen utarbeta program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraft för personal och ledning.
1. Den IKT-riskhanteringsram som avses i punkt 1 andra stycket a, ska dokumenteras och ses över regelbundet och vid uppkomsten av allvarliga IKT-relaterade incidenter, i enlighet med tillsynsinstruktionerna. Ramen ska förbättras fortlöpande baserat på erfarenheterna från genomförande och övervakning. En rapport om översynen av IKT-riskhanteringsramen ska överlämnas till den behöriga myndigheten på dess begäran.
1. De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med Enisa, utarbeta gemensamma förslag till tekniska standarder för tillsyn i syfte att
  1. närmare specificera vilka komponenter som ska ingå i den IKT-riskhanteringsram som avses i punkt 1 andra stycket a,
  2. närmare specificera komponenterna i förhållande till system, protokoll och verktyg för att minimera effekterna av IKT-risk som avses i punkt 1 andra stycket c, i syfte att säkerställa säkerheten i nätverken, möjliggöra lämpliga skyddsåtgärder mot intrång och missbruk av data och bevara datans tillgänglighet, äkthet, integritet och konfidentialitet,
  3. närmare specificera komponenterna i de IKT-kontinuitetsplaner som avses i punkt 1 andra stycket f,
  4. närmare specificera reglerna för testningen av kontinuitetsplanerna och säkerställa att de kontroller som avses i punkt 1 andra stycket g är effektiva, och säkerställa att det vid sådan testning tas tillräckligt stor hänsyn till scenarier där kvaliteten på tillhandahållandet av en kritisk eller viktig funktion försämras till en oacceptabel nivå eller tillhandahållandet avbryts,
  5. närmare specificera innehållet i och formatet för den rapport om översynen av IKT-riskhanteringsramen som avses i punkt 2.
2. När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser.
3. De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.
4. Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Relevant recitals

Skäl 42 Simplified ICT risk management for small financial entities

Enligt sektorsspecifik unionsrätt omfattas vissa finansiella entiteter av förenklade krav eller undantag av skäl som rör deras storlek eller de tjänster de tillhandahåller. Den kategorin av finansiella entiteter omfattar små och icke sammanlänkade värdepappersföretag, små tjänstepensionsinstitut som får uteslutas från tillämpningsområdet för direktiv (EU) 2016/2341 enligt de villkor som fastställs i artikel 5 i det direktivet av den berörda medlemsstaten och som har pensionsplaner som tillsammans inte omfattar fler än 100 personer totalt, liksom institut som är undantagna enligt direktiv 2013/36/EU. Det är därför lämpligt att, i enlighet med proportionalitetsprincipen och för att bevara andan av sektorsspecifik unionsrätt, låta de finansiella entiteterna omfattas av en förenklad IKT-riskhanteringsram enligt denna förordning. Den proportionella karaktären i den förenklade IKT-riskhanteringsram som omfattar dessa finansiella entiteter bör inte ändras av de lagstadgade tekniska standarder som ska utarbetas av de europeiska tillsynsmyndigheterna. I enlighet med proportionalitetsprincipen är det dessutom lämpligt att även låta de betalningsinstitut som avses i artikel 32.1 i direktiv (EU) 2015/2366 och de institut för elektroniska pengar som avses i artikel 9 i direktiv 2009/110/EG som är undantagna i enlighet med nationellt rätt som införlivar dessa unionsrättsakter omfattas av en förenklad IKT-riskhanteringsram enligt denna förordning, medan betalningsinstitut och institut för elektroniska pengar som inte har undantagits i enlighet med respektive nationell rätt som införlivar sektorsspecifik unionsrätt bör följa den allmänna ram som fastställs i denna förordning.

Skäl 43 Exemptions for microenterprises and financial entities subject to a simplified risk management framework

På samma sätt bör finansiella entiteter som räknas som mikroföretag eller som omfattas av den förenklade IKT-riskhanteringsramen enligt denna förordning inte vara skyldiga att inrätta en funktion för att övervaka de arrangemang som de ingått med IKT-tredjepartsleverantörer för användning av IKT-tjänster; eller att utse en medlem av den högre ledningen till ansvarig för att övervaka den åtföljande riskexponeringen och relevant dokumentation; att överföra ansvaret för att hantera och övervaka IKT-risk till en kontrollfunktion och säkerställa en lämplig nivå av oberoende för den kontrollfunktionen för att undvika intressekonflikter; att minst en gång om året dokumentera och se över IKT-riskhanteringsramen; att regelbundet låta IKT-riskhanteringsramen undergå en internrevision; att göra djupgående bedömningar efter större förändringar i deras infrastruktur och processer för nätverks- och informationssystem; att regelbundet genomföra riskanalyser av befintliga IKT-system; att låta genomförandet av åtgärds- och återställningsplaner avseende IKT undergå oberoende interna granskningar; att inrätta en krishanteringsfunktion, att utöka testningen av driftskontinuitet och åtgärds- och återställningsplaner för att fånga upp överflyttningsscenarier mellan primär IKT-infrastruktur och reservanläggningar, att på begäran av de behöriga myndigheterna lämna en uppskattning av de totala årliga kostnader och förluster som orsakas av allvarliga IKT-relaterade incidenter, att upprätthålla IKT-reservkapacitet; att till de nationella behöriga myndigheterna meddela vilka förändringar som genomfördes efter efterhandsöversyner av IKT-relaterade incidenter; att kontinuerligt övervaka relevant teknisk utveckling, att inrätta ett heltäckande program för testning av digital operativ motståndskraft som en integrerad del av den IKT-riskhanteringsram som föreskrivs i den här förordningen, eller att anta och regelbundet se över en strategi för IKT-tredjepartsrisk. Mikroföretag ska dessutom endast bedöma behovet av att upprätthålla sådan IKT-reservkapacitet med utgångspunkt i vilken riskprofil de har. Mikroföretag bör omfattas av ett mer flexibelt system vad gäller program för testning av digital operativ motståndskraft. När de överväger vilken typ och frekvens av testning som ska utföras bör de vederbörligen väga målet att upprätthålla en hög digital operativ motståndskraft, de tillgängliga resurserna och sin allmänna riskprofil. Mikroföretag och finansiella entiteter som omfattas av den förenklade IKT-riskhanteringsramen enligt denna förordning bör undantas från kravet på avancerad testning av IKT-verktyg, IKT-system och IKT-processer baserad på hotbildsstyrd penetrationstestning, eftersom endast finansiella entiteter som uppfyller de krav som fastställs i denna förordning bör vara skyldiga att utföra sådan testning. Mot bakgrund av sin begränsade kapacitet bör mikroföretag kunna komma överens med tredjepartsleverantören av IKT-tjänster att delegera den finansiella entiteten rätt till tillgång, inspektion och revision till en oberoende tredje part som utsetts av tredjepartsleverantören av IKT-tjänster, under förutsättning att den finansiella entiteten, när som helst, kan begära all relevant information och försäkran om tredjepartsleverantörens prestanda från respektive oberoende tredje part.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.