Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 4 Proportionalitetsprincipen
Summary What does Article 4 of the DORA regulation say?
This article establishes the proportionality principle as it applies throughout DORA.
It makes clear that financial entities are not expected to apply the regulation's requirements in a one-size-fits-all manner; instead, compliance must be calibrated to each entity's size, risk profile, and the nature and complexity of its operations.
This principle runs across the ICT risk management rules in Chapter II, as well as the requirements in Chapters III, IV, and the first section of Chapter V.
Competent authorities are also brought into the picture, as they must factor in proportionality when reviewing an entity's ICT risk management framework.
Important points:
- Implement the rules of Chapters II, III, IV, and V, Section I in a manner proportionate to your size, overall risk profile, and the nature, scale, and complexity of your services, activities, and operations.
- Competent authorities are required to consider the proportionality principle when reviewing the consistency of a financial entity's ICT risk management framework.
- This article acts as a cross-cutting interpretive lens for how obligations throughout the regulation should be applied.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Finansiella entiteter ska genomföra reglerna i kapitel II i enlighet med proportionalitetsprincipen, och med beaktande av sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, sin verksamhet och sina insatser.
Dessutom ska finansiella entiteters tillämpning av kapitlen III, IV och V, avsnitt I, stå i proportion till deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser, i enlighet med vad som specificeras i de relevanta reglerna i dessa kapitel.
De behöriga myndigheterna ska beakta finansiella entiteters tillämpning av proportionalitetsprincipen när de ser över enhetligheten i IKT-riskhanteringsramen baserat på de rapporter som lämnats in på begäran av de behöriga myndigheterna enligt artiklarna 6.5 och 16.2.
Relevant recitals
Skäl 21 Baseline requirements with proportional application and supervision
För att finansiella entiteter ska kunna upprätthålla full kontroll över IKT-risk måste de ha övergripande kapacitet som möjliggör en kraftfull och effektiv IKT-riskhantering, liksom särskilda mekanismer och riktlinjer för att hantera alla IKT-relaterade incidenter och rapportera allvarliga IKT-relaterade incidenter. På samma sätt bör finansiella entiteter ha inrättat strategier för testning av IKT-system, IKT-kontroller och IKT-processer samt för hantering av IKT-tredjepartsrisk. Referensnivån för digital operativ motståndskraft hos finansiella entiteter bör höjas och samtidigt möjliggöra en proportionell tillämpning av kraven för vissa finansiella entiteter, särskilt mikroföretag, liksom finansiella entiteter som är föremål för en förenklad IKT-riskhanteringsram. För att underlätta en effektiv tillsyn av tjänstepensionsinstitut som är proportionell och tillgodoser behovet att minska de behöriga myndigheternas administrativa bördor bör relevanta nationella tillsynsramar för sådana finansiella entiteter beakta deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser, även när de relevanta trösklar som fastställs i artikel 5 i Europaparlamentets och rådets direktiv (EU) 2016/2341(10) överskrids. Framför allt bör tillsynsverksamhet i första hand inriktas på behovet av att hantera allvarliga risker i samband med IKT-riskhantering i en särskild entitet.
De behöriga myndigheterna bör också upprätthålla ett vaksamt men proportionellt tillvägagångssätt vad gäller tillsyn över tjänstepensionsinstitut som, i enlighet med artikel 31 i direktiv (EU) 2016/2341, utkontrakterar en betydande del av sin kärnverksamhet, till exempel kapitalförvaltning, försäkringstekniska beräkningar, redovisning och databehandling till tjänsteleverantörer.
Skäl 36 Proportionality principle
Trots den breda täckning som föreskrivs i denna förordning bör vid tillämpningen av reglerna om digital operativ motståndskraft beaktas betydande skillnader mellan finansiella entiteter i fråga om deras storlek och allmänna riskprofil. Som en allmän princip bör finansiella entiteter, när de fördelar resurser och kapacitet till genomförandet av IKT-riskhanteringsramen, på lämpligt sätt väga sina IKT-relaterade behov mot sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser medan de behöriga myndigheterna bör fortsätta att bedöma och se över tillvägagångssättet för en sådan fördelning.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-risk
(En. ICT risk)
Definition
digital operativ motståndskraft
(En. digital operational resilience)
Definition
IKT-tredjepartsrisk
(En. ICT third-party risk)
Definition
central motpart
(En. central counterparty)
Definition
transaktionsregister
(En. trade repository)
Definition
mikroföretag
(En. microenterprise)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
tjänstepensionsinstitut
(En. institution for occupational retirement provision)
Definition
värdepapperscentral
(En. central securities depository)
Definition
nätverks- och informationssystem
(En. network and information system)
Definition
handelsplats
(En. trading venue)
Definition
säkerhet i nätverks- och informationssystem
(En. security of network and information systems)
Footnote 10