Source: OJ L 333, 27.12.2022, p. 1–79

Current language: SV

Artikel 3 Definitioner

Summary What does Article 3 of the DORA regulation say?

This is the definitions article for DORA, and given the broad scope of the regulation, it is exceptionally comprehensive — running to 65 defined terms.

It establishes the precise meaning of every key concept used throughout the regulation, from core technical terms like ICT risk, ICT-related incident, and digital operational resilience, to the full range of financial entity types covered by Article 2.

Many of the definitions for entity types cross-reference existing EU financial services legislation, while others — such as ICT concentration risk, critical or important function, and threat-led penetration testing — are defined substantively within the article itself.

This article underpins the entire regulation and is the essential reference point for interpreting every obligation that follows.

Important points:

  • Understand that terms like ICT risk, major ICT-related incident, and critical or important function carry precise definitions here that directly determine the scope of your obligations throughout the regulation.
  • The distinction between entity size categories — microenterprise, small enterprise, and medium-sized enterprise — is defined here and has direct consequences for which requirements apply to you.
  • The definition of ICT third-party risk expressly includes services provided through subcontractors and outsourcing arrangements, not just direct ICT third-party service providers.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

I denna förordning gäller följande definitioner:

  1. digital operativ motståndskraft: en finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott.

  2. nätverks- och informationssystem: ett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555.

  3. äldre IKT-system: ett IKT-system som har nått slutet på sin livscykel, som inte lämpar sig för uppgraderingar eller justeringar, av tekniska eller kommersiella skäl, eller som inte längre stöds av leverantören eller av en tredjepartsleverantör av IKT-tjänster, men som fortfarande används och stöder den finansiella entitetens funktioner.

  4. säkerhet i nätverks- och informationssystem: ett säkerhet i nätverks- och informationssystem enligt definitionen i artikel 6.2 i direktiv (EU) 2022/2555.

  5. IKT-risk: varje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön.

  6. informationstillgång: en samling materiell eller immateriell skyddsvärd information.

  7. IKT-tillgång: en programvaru- eller maskinvarutillgång i nätverks- och informationssystemen som används av den finansiella entiteten.

  8. IKT-relaterad incident: en enskild händelse eller en serie sammankopplade händelser som inte planerats av den finansiella entiteten och som äventyrar säkerheten i nätverks- och informationssystemen och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller datan eller de tjänster som tillhandahålls av den finansiella entiteten.

  9. betalningsrelaterad operativ incident eller säkerhetsincident: en enskild händelse eller en serie sammankopplade händelser som inte planerats av de finansiella entiteter som avses i artikel 2.1 a–d och som kan vara IKT-relaterade men inte behöver vara det och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller betalningsrelaterade data eller de betalningsrelaterade tjänster som tillhandahålls av den finansiella entiteten.

  10. allvarlig IKT-relaterad incident: en IKT-relaterad incident som har stor negativ inverkan på nätverks- och informationssystem som stöder den finansiella entitetens kritiska eller viktiga funktioner.

  11. allvarlig betalningsrelaterad operativ incident eller säkerhetsincident: en betalningsrelaterad operativ incident eller säkerhetsincident som har stor negativ inverkan på de betalningsrelaterade tjänster som tillhandahålls.

  12. cyberhot: ett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881.

  13. betydande cyberhot: ett cyberhot vars tekniska egenskaper indikerar att det potentiellt kan leda till en allvarlig IKT-relaterad incident eller allvarlig betalningsrelaterad operativ incident eller säkerhetsincident.

  14. cyberangrepp: en skadlig IKT-relaterad incident orsakad av ett försök av en fientlig aktör att förstöra, exponera, ändra, deaktivera, stjäla eller få obehörig åtkomst till eller obehörigt utnyttja en tillgång.

  15. underrättelser om hot: information som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv.

  16. sårbarhet: en svaghet, mottaglighet eller brist hos en tillgång, ett system, en process eller en kontroll som kan utnyttjas.

  17. hotbildsstyrd penetrationstestning: en ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten.

  18. IKT-tredjepartsrisk: en IKT-risk som kan uppstå för en finansiell entitet i samband med dess användning av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster eller av underleverantörer till sådana leverantörer, inbegripet genom utkontrakteringsarrangemang.

  19. tredjepartsleverantör av IKT-tjänster: ett företag som tillhandahåller IKT-tjänster.

  20. koncernintern IKT-tjänsteleverantör: ett företag som ingår i en finansiell koncern och som huvudsakligen tillhandahåller IKT-tjänster till finansiella entiteter inom samma koncern eller till finansiella entiteter som tillhör samma institutionella skyddssystem, inbegripet till deras moderföretag, dotterföretag, filialer eller andra entiteter som står under samma ägarskap eller kontroll.

  21. IKT-tjänster: digitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.

  22. kritisk eller viktig funktion: en funktion vars avbrott väsentligt skulle försämra den finansiella entitetens finansiella resultat eller sundheten eller kontinuiteten i dess tjänster och verksamhet, eller om funktionens upphörande, brister eller misslyckande väsentligt skulle försämra en finansiell entitets fortsatta efterlevnad av villkoren och skyldigheterna i auktorisationen eller av dess övriga skyldigheter enligt tillämplig rätt avseende finansiella tjänster.

  23. kritisk tredjepartsleverantör av IKT-tjänster: en tredjepartsleverantör av IKT-tjänster som har klassificerats som kritisk i enlighet med artikel 31.

  24. tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland: en tredjepartsleverantör av IKT-tjänster som är en juridisk person som är etablerad i ett tredjeland och som har ingått ett kontraktsmässigt arrangemang med en finansiell entitet om tillhandahållande av IKT-tjänster.

  25. dotterföretag: ett dotterföretag i den mening som avses i artiklarna 2.10 och 22 i direktiv 2013/34/EU.

  26. koncern: en koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU.

  27. moderföretag: ett moderföretag i den mening som avses i artiklarna 2.9 och 22 i direktiv 2013/34/EU.

  28. IKT-underleverantör etablerad i ett tredjeland: en IKT-underleverantör som är en juridisk person som är etablerad i ett tredjeland och som har ingått ett kontraktsmässigt arrangemang antingen med en tredjepartsleverantör av IKT-tjänster eller med en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland.

  29. IKT-koncentrationsrisk: exponering mot enskilda eller flera närstående kritiska tredjepartsleverantörer av IKT-tjänster som skapar ett visst beroende av sådana leverantörer, så att otillgänglighet, fel eller annan typ av brist hos sådana leverantörer kan komma att äventyra förmågan hos en finansiell entitet att tillhandahålla kritiska eller viktiga funktioner eller leda till andra typer av negativa effekter, inbegripet stora förluster, eller äventyra den finansiella stabiliteten i unionen som helhet.

  30. ledningsorgan: ett ledningsorgan enligt definitionen i artikel 4.1.36 i direktiv 2014/65/EU, artikel 3.1.7 i direktiv 2013/36/EU, artikel 2.1 s i Europaparlamentets och rådets direktiv 2009/65/EG(31), artikel 2.1.45 i förordning (EU) nr 909/2014, artikel 3.1.20 i förordning (EU) 2016/1011 och i de relevanta bestämmelserna i förordningen om kryptotillgångar, eller motsvarande personer som i praktiken leder entiteten eller har nyckelfunktioner i enlighet med relevant unionsrätt eller nationell rätt.

  31. kreditinstitut: ett kreditinstitut enligt definitionen i artikel 4.1.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013(32).

  32. institut undantaget enligt direktiv 2013/36/EU: en sådan enhet som avses i artikel 2.5.4–2.5.23 i direktiv 2013/36/EU.

  33. värdepappersföretag: ett värdepappersföretag enligt definitionen i artikel 4.1.1 i direktiv 2014/65/EU.

  34. litet och icke-sammanlänkat värdepappersföretag: ett värdepappersföretag som uppfyller villkoren i artikel 12.1 i Europaparlamentets och rådets förordning (EU) 2019/2033(33).

  35. betalningsinstitut: ett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366.

  36. betalningsinstitut undantaget enligt direktiv (EU) 2015/2366: sådana betalningsinstitut som är undantagna enligt artikel 32.1 i direktiv (EU) 2015/2366.

  37. leverantör av kontoinformationstjänster: sådana leverantörer av kontoinformationstjänster som avses i artikel 33.1 i direktiv (EU) 2015/2366.

  38. institut för elektroniska pengar: ett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG.

  39. institut för elektroniska pengar undantaget enligt direktiv 2009/110/EG: ett institut för elektroniska pengar som omfattas av ett undantag enligt artikel 9.1 i direktiv 2009/110/EG.

  40. central motpart: en central motpart enligt definitionen i artikel 2.1 förordning (EU) nr 648/2012.

  41. transaktionsregister: ett transaktionsregister enligt definitionen i artikel 2.2 i förordning (EU) nr 648/2012.

  42. värdepapperscentral: en värdepapperscentral enligt definitionen i artikel 2.1.1 i förordning (EU) nr 909/2014.

  43. handelsplats: en handelsplats enligt definitionen i artikel 4.1.24 i direktiv 2014/65/EU.

  44. förvaltare av alternativa investeringsfonder: en förvaltare av alternativa investeringsfonder enligt definitionen i artikel 4.1 b i direktiv 2011/61/EU.

  45. förvaltningsbolag: ett förvaltningsbolag enligt definitionen i artikel 2.1 b i direktiv 2009/65/EG.

  46. leverantör av datarapporteringstjänster: en leverantör av datarapporteringstjänster i enlighet med vad som avses i artikel 2.1.34–36 i förordning (EU) nr 600/2014.

  47. försäkringsföretag: ett försäkringsföretag enligt definitionen i artikel 13.1 i direktiv 2009/138/EG.

  48. återförsäkringsföretag: ett återförsäkringsföretag enligt definitionen i artikel 13.4 i direktiv 2009/138/EG.

  49. försäkringsförmedlare: en försäkringsförmedlare enligt definitionen i artikel 2.1.3 i Europaparlamentets och rådets direktiv (EU) 2016/97(34).

  50. försäkringsförmedlare som bedriver förmedling som sidoverksamhet: en försäkringsförmedlare som bedriver förmedling som sidoverksamhet enligt definitionen i artikel 2.1.4 i direktiv (EU) 2016/97.

  51. återförsäkringsförmedlare: en återförsäkringsförmedlare enligt definitionen i artikel 2.1.5 i direktiv (EU) 2016/97.

  52. tjänstepensionsinstitut: ett tjänstepensionsinstitut enligt definitionen i artikel 6.1 i direktiv (EU) 2016/2341.

  53. litet tjänstepensionsinstitut: ett tjänstepensionsinstitut som förvaltar pensionsplaner som tillsammans inte har fler än totalt 100 medlemmar.

  54. kreditvärderingsinstitut: ett kreditvärderingsinstitut enligt definitionen i artikel 3.1 b i förordning (EG) nr 1060/2009.

  55. leverantör av kryptotillgångstjänster: en leverantör av kryptotillgångstjänster enligt definitionen i de relevanta bestämmelserna i förordningen om kryptotillgångar.

  56. emittent av tillgångsanknutna token: en emittent av tillgångsanknutna token enligt definitionen i de relevanta bestämmelserna i förordningen om kryptotillgångar.

  57. administratör av kritiska referensvärden: en administratör av kritiska referensvärden enligt definitionen i artikel 3.1.25 i förordning (EU) 2016/1011.

  58. leverantör av gräsrotsfinansieringstjänster: en leverantör av gräsrotsfinansieringstjänster enligt definitionen i artikel 2.1 e i Europaparlamentets och rådets förordning (EU) 2020/1503(35).

  59. värdepapperiseringsregister: ett värdepapperiseringsregister enligt definitionen i artikel 2.23 i Europaparlamentets och rådets förordning (EU) 2017/2402(36).

  60. mikroföretag: en finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR.

  61. ledande tillsynsmyndighet: den europeiska tillsynsmyndighet som utses i enlighet med artikel 31.1 b i denna förordning.

  62. den gemensamma kommittén: den kommitté som avses i artikel 54 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

  63. litet företag: en finansiell entitet med tio eller fler anställda men färre än 50 anställda och en årsomsättning och/eller årlig balansomslutning som överstiger 2 miljoner EUR men som inte överstiger 10 miljoner EUR.

  64. medelstort företag: en finansiell entitet som inte är ett litet företag och som har färre än 250 anställda och en årsomsättning som inte överstiger 50 miljoner EUR och/eller en årlig balansomslutning som inte överstiger 43 miljoner EUR.

  65. offentlig myndighet: alla statliga entiteter eller andra entiteter inom offentlig förvaltning, inbegripet nationella centralbanker.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod