Art. 8 Identifiering | DORA regulation | DORA

Article 8 sits within the ICT risk management framework established by Article 6 and deals with identification — the foundational "know what you have" obligation.

Financial entities are required to identify, classify, document, and continuously monitor their ICT assets, information assets, risk sources, and third-party dependencies.

The article also mandates the creation and upkeep of inventories capturing these elements, and requires risk assessments whenever major changes occur to infrastructure or processes.

A specific obligation targets legacy ICT systems, requiring regular dedicated risk assessments for systems that are end-of-life but still in use.

Important points:

Identify, classify, document, and map all ICT and information assets — including remote sites, hardware, and interdependencies — and maintain live inventories that are updated upon any major change.
Continuously identify ICT risk sources and assess cyber threats and vulnerabilities, with formal reviews conducted at least yearly; financial entities other than microenterprises must also perform a risk assessment upon each major infrastructure or process change.
Financial entities other than microenterprises must conduct a specific ICT risk assessment on all legacy ICT systems at least yearly and before and after connecting them to other technologies or systems.

1. Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter identifiera, klassificera och på lämpligt sätt dokumentera alla IKT-stödda affärsfunktioner, roller och ansvarsområden, de informationstillgångar och IKT-tillgångar som stöder dessa funktioner och deras roller och beroenden i förhållande till IKT-risk. Finansiella entiteter ska vid behov, och minst en gång per år, granska lämpligheten i denna klassificering och i all relevant dokumentation.
1. Finansiella entiteter ska fortlöpande identifiera alla källor till IKT-risk, särskilt riskexponeringen mot och från andra finansiella entiteter, och bedöma cyberhot och IKT-sårbarheter som är relevanta för deras IKT-stödda affärsfunktioner, informationstillgångar och IKT-tillgångar. Finansiella entiteter ska regelbundet och minst en gång per år se över de riskscenarier som påverkar dem.
1. Andra finansiella entiteter än mikroföretag ska göra en riskbedömning vid varje större förändring av nätverks- och informationssystemets infrastruktur, av de processer eller förfaranden som påverkar deras IKT-stödda affärsfunktioner, informationstillgångar eller IKT-tillgångar.
1. Finansiella entiteter ska identifiera alla informationstillgångar och IKT-tillgångar, inbegripet sådana på fjärrplatser, nätverksresurser och maskinvaruutrustning, och kartlägga de som anses vara kritiska. De ska kartlägga informationstillgångarnas och IKT-tillgångarnas konfiguration samt länkarna och det ömsesidiga beroendet mellan de olika informationstillgångarna och IKT-tillgångarna.
1. Finansiella entiteter ska identifiera och dokumentera alla processer som är beroende av tredjepartsleverantörer av IKT-tjänster och identifiera kopplingar till de tredjepartsleverantörer av IKT-tjänster som tillhandahåller tjänster som stöder kritiska eller viktiga funktioner.
1. Vid tillämpning av punkterna 1, 4 och 5 ska finansiella entiteter upprätthålla relevanta inventeringar och uppdatera dem regelbundet och varje gång en sådan större förändring som avses i punkt 3 inträffar.
1. Andra finansiella entiteter än mikroföretag ska regelbundet, och minst en gång per år, genomföra en särskild IKT-riskbedömning av alla äldre IKT-system, och i varje fall före och efter sammanlänkning av tekniker, tillämpningar eller system.