Source: OJ L 333, 27.12.2022, p. 1–79

Current language: SV

Artikel 9 Skydd och förebyggande

Summary What does Article 9 of the DORA regulation say?

This article sits within DORA's ICT risk management chapter and deals with protection and prevention — specifically, what financial entities must actively put in place to secure their ICT systems.

Building on the overarching ICT risk management framework established in Article 6, it moves from broad governance into concrete security requirements.

The article covers continuous monitoring of ICT systems, the design and implementation of security policies, and a detailed set of specific technical and organisational measures that financial entities must have in place, ranging from access controls and authentication mechanisms to change management procedures and patch policies.

Important points:

  • Continuously monitor and control the security and functioning of your ICT systems and deploy appropriate security tools, policies and procedures to minimise ICT risk.
  • Design and implement ICT security policies targeting resilience, continuity and availability, with particular emphasis on protecting data in all states — at rest, in use and in transit.
  • As part of the ICT risk management framework, put in place a documented information security policy, access control policies, strong authentication mechanisms, an ICT change management process approved by appropriate lines of management, and comprehensive patch and update policies.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. För att skydda IKT-system på lämpligt sätt och organisera motåtgärder ska finansiella entiteter kontinuerligt övervaka och kontrollera IKT-systemens och IKT-verktygens säkerhet och funktion och ska minimera effekterna av IKT-risk på IKT-system genom att införa lämpliga verktyg, riktlinjer och förfaranden för IKT-säkerhet.

    1. Finansiella entiteter ska utforma, upphandla och genomföra IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som syftar till att säkerställa IKT-systemens motståndskraft, kontinuitet och tillgänglighet, i synnerhet för de system som stöder kritiska eller viktiga funktioner, och upprätthålla höga standarder för tillgänglighet, äkthet, integritet och konfidentialitet avseende data, oberoende av om de är i vila, i bruk eller under överföring.

    1. För att uppnå de mål som avses i punkt 2 ska finansiella entiteter använda IKT-lösningar och IKT-processer som är lämpliga i enlighet med artikel 4. Dessa IKT-lösningar och IKT-processer ska

      1. säkerställa skyddet vid dataöverföring,

      2. minimera risken för förvanskning eller förlust av uppgifter, obehörig åtkomst och tekniska brister som kan hindra affärsverksamheten,

      3. förhindra bristen på tillgänglighet, försvagandet av äkthet och integritet, överträdelserna av konfidentialitet, och förlusten av data,

      4. säkerställa att uppgifterna skyddas mot risker som uppstår från datahanteringen, inbegripet bristfällig förvaltning, processrelaterade risker och den mänskliga faktorn.

    1. Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter

      1. utarbeta och dokumentera riktlinjer för informationssäkerhet där det fastställs regler för att skydda tillgängligheten, äktheten, integriteten och konfidentialiteten hos data, informationstillgångar och IKT-tillgångar, inbegripet hos deras kunder, när så är tillämpligt,

      2. enligt en riskbaserad strategi upprätta en sund struktur för förvaltning av nätverk och infrastruktur med hjälp av lämpliga tekniker, metoder och protokoll, vilket kan inbegripa införande av automatiserade mekanismer för att isolera berörda informationstillgångar vid cyberangrepp,

      3. genomföra strategier för att begränsa den fysiska eller logiska åtkomsten till informationstillgångar och IKT-tillgångar till enbart det som krävs för legitima och godkända funktioner och verksamheter, och för detta ändamål fastställa en uppsättning strategier, förfaranden och kontroller för åtkomsträttigheter och säkerställa en sund förvaltning av dessa,

      4. genomföra strategier och protokoll för starka äkthetsmekanismer, baserade på relevanta standarder och särskilda kontrollsystem, samt skyddsåtgärder för kryptografiska nycklar där data krypteras baserat på resultat från godkända processer för klassificering och IKT-riskbedömning,

      5. genomföra dokumenterade strategier, förfaranden och kontroller för hantering av IKT-förändringar, inbegripet ändringar av programvara, maskinvara, fasta programvarukomponenter, system eller säkerhetsparametrar, som bygger på en riskbedömningsmetod och är en integrerad del av den finansiella entitetens övergripande förändringshanteringsprocess, för att säkerställa att alla ändringar av IKT-system registreras, testas, bedöms, godkänns, genomförs och verifieras på ett kontrollerat sätt,

      6. ha lämpliga och heltäckande dokumenterade strategier för programfixar och uppdateringar.

    2. Vid tillämpning av första stycket led b ska finansiella entiteter utforma infrastrukturen för nätanslutning på ett sätt som gör att den omedelbart kan avskiljas eller segmenteras i syfte att minimera och förhindra spridning, särskilt för sammanlänkade finansiella processer.

    3. Vid tillämpning av första stycket led e ska processen för hantering av IKT-förändringar godkännas av lämpliga ledningsnivåer och ska ha särskilda protokoll på plats

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod