Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 5 Styrning och organisation
Summary What does Article 5 of the DORA regulation say?
This key foundational article sets the main objective of the regulation, to have in place an internal governance and control framework regarding ICT risk, and that the management body of the financial entity is responsible for this.
It goes on to detail various responsibilities of the management body: oversight, regular reviews and approval of policies, keeping its knowledge up to date, and the setting up of appropriate roles and reporting channels.
The article also connects directly to Article 6, which establishes the ICT risk management framework that the management body is tasked with overseeing here.
Important points:
- Implement an internal governance and control framework for ICT risk.
- All responsibility for this stems from the management body, which bears ultimate accountability for ICT risk management.
- Financial entities other than microenterprises must establish a dedicated role or designate a senior management member to oversee arrangements with ICT third-party service providers.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Finansiella entiteter ska ha en intern styrnings- och kontrollram som säkerställer en effektiv och ansvarsfull hantering av IKT-risk i enlighet med artikel 6.4, i syfte att åstadkomma en hög nivå av digital operativ motståndskraft.
Den finansiella entitetens ledningsorgan ska fastställa, godkänna, övervaka och ansvara för genomförandet av alla arrangemang som rör den IKT-riskhanteringsram som avses i artikel 6.1.
Vid tillämpning av det första stycket ska ledningsorganet
ha det slutliga ansvaret för att hantera den finansiella entitetens IKT-risk,
införa strategier som syftar till att säkerställa bibehållandet av höga standarder för tillgänglighet, äkthet, integritet och konfidentialitet för data,
fastställa tydliga roller och ansvarsområden för alla IKT-relaterade funktioner och inrätta lämpliga styrformer för att säkerställa kommunikation, samarbete och samordning på ett effektivt och skyndsamt sätt mellan dessa funktioner,
ha det övergripande ansvaret för att fastställa och godkänna strategin för digital operativ motståndskraft enligt artikel 6.8, inbegripet fastställandet av en lämplig risktoleransnivå för IKT-risk för den finansiella entiteten, enligt vad som avses i artikel 6.8 b,
godkänna, övervaka och regelbundet se över genomförandet av den IKT-kontinuitetspolicy och de åtgärds- och återställningsplaner avseende IKT för den finansiella entiteten som avses i artikel 11.1 respektive 11.3, vilka kan antas som särskilda specifika planer och utgöra integrerade delar av den finansiella entitetens övergripande kontinuitetsplan och åtgärds- och återställningsplan,
godkänna och regelbundet se över den finansiella entitetens IKT-internrevisionsplaner, IKT-revisioner och väsentliga ändringar av dessa,
anslå och regelbundet se över den lämpliga budgeten för att uppfylla den finansiella entitetens behov av digital operativ motståndskraft när det gäller alla typer av resurser, inbegripet relevanta program för medvetenhet om IKT-säkerhet och sådan utbildning om digital operativ motståndskraft som avses i artikel 13.6 och IKT-färdigheter för all personal,
godkänna och regelbundet se över den finansiella entitetens riktlinjer för arrangemang vad gäller användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster,
på verksamhetsnivå etablera rapporteringskanaler som gör det möjligt att vederbörligen informeras om
arrangemang som har ingåtts med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster,
alla relevanta planerade väsentliga ändringar som rör tredjepartsleverantörerna av IKT-tjänster,
den potentiella effekten av sådana ändringar på de kritiska eller viktiga funktioner som omfattas av dessa arrangemang, inbegripet en sammanfattning av riskanalysen för att bedöma effekterna av dessa ändringar och åtminstone allvarliga IKT-relaterade incidenter och deras inverkan liksom åtgärder, återställande och korrigerande åtgärder.
Andra finansiella entiteter än mikroföretag ska inrätta en funktion för att övervaka de arrangemang som har ingåtts med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster, eller utse en medlem av den verkställande ledningen som ansvarig för att övervaka den åtföljande riskexponeringen och relevant dokumentation.
Medlemmarna i den finansiella entitetens ledningsorgan ska aktivt upprätthålla tillräckliga och aktuella kunskaper och färdigheter för att förstå och bedöma IKT-risk och deras inverkan på den finansiella entitetens verksamhet, inbegripet genom att regelbundet genomgå särskild utbildning som står i proportion till den IKT-risk som hanteras.
Relevant recitals
Skäl 38 Complex governance arrangements for non-micro financial entities
Eftersom större finansiella entiteter skulle kunna ha mer omfattande resurser och snabbt kan använda medel för att utveckla styrningsstrukturer och inrätta olika företagsstrategier, bör endast finansiella entiteter som inte är mikroföretag i den mening som avses i denna förordning vara skyldiga att inrätta mer komplexa styrformer. Framför allt är sådana entiteter bättre rustade att inrätta särskilda ledningsfunktioner för att övervaka arrangemang med tredjepartsleverantörer av IKT-tjänster eller för att sköta krishantering, organisera sin IKT-riskhantering enligt modellen med tre försvarslinjer, eller inrätta en intern riskhanterings- och kontrollmodell och låta sin IKT- riskhanteringsram undergå interna revisioner.
Skäl 45 Management bodies' role in ICT risk management
För att säkerställa fullständig anpassning och övergripande konsekvens mellan finansiella entiteters affärsstrategier, å ena sidan, och genomförandet av IKT-riskhantering, å andra sidan, bör finansiella entiteters ledningsorgan vara skyldiga att ha en central och aktiv roll i styrningen och anpassningen av IKT-riskhanteringsramen och den övergripande strategin för digital operativ motståndskraft. Ledningsorganens strategi bör inte enbart vara inriktad på hur IKT-systemens motståndskraft säkerställs, utan även omfatta människor och processer genom en uppsättning strategier som, på varje företagsnivå och för all personal, främjar en stark känsla av medvetenhet om cyberrisker och ett åtagande att tillämpa en strikt cyberhygien på alla nivåer. Ledningsorganets yttersta ansvar för att hantera en finansiell entitets IKT-risk bör utgöra en övergripande princip för den heltäckande strategin och omsättas i ett fortlöpande engagemang hos ledningen för att kontrollera övervakningen av IKT-riskhanteringen.
Skäl 46 Management body's responsibility for ICT-related investments
Principen om ledningsorganets fullständiga och slutgiltiga ansvar för hanteringen av IKT-risken för en finansiell entitet går hand i hand med behovet av att säkerställa en nivå för IKT-relaterade investeringar och en övergripande budget för den finansiella entiteten som skulle möjliggöra för den finansiella entiteten att uppnå en hög nivå av digital operativ motståndskraft.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-risk
(En. ICT risk)
Definition
digital operativ motståndskraft
(En. digital operational resilience)
Definition
central motpart
(En. central counterparty)
Definition
transaktionsregister
(En. trade repository)
Definition
mikroföretag
(En. microenterprise)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
ledningsorgan
(En. management body)
Definition
värdepapperscentral
(En. central securities depository)
Definition
nätverks- och informationssystem
(En. network and information system)
Definition
handelsplats
(En. trading venue)
Definition
säkerhet i nätverks- och informationssystem
(En. security of network and information systems)