Art. 14 Säkring av information under överföring | RTS on ICT risk management framework | DORA

This article focuses on the protection of information in transit, requiring financial entities to develop and implement policies, procedures, protocols, and tools to preserve the availability, authenticity, integrity, and confidentiality of data as it moves across networks.

It sits within the broader set of data safeguarding obligations and connects directly to the data classification and ICT risk assessment processes established elsewhere in the regulation, as those results must form the basis of how these protections are designed.

Important points:

Develop, document, and implement policies and tools to protect information in transit, covering data confidentiality and integrity during network transmission, prevention and detection of data leakage, and confidentiality or non-disclosure arrangements with staff and third parties.
The design of these protections must be based on the results of the approved data classification and ICT risk assessment.
Confidentiality and non-disclosure arrangements must be implemented, documented, and regularly reviewed.

1. Som en del av skyddsåtgärderna för att bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet ska de finansiella entiteterna utarbeta, dokumentera och införa strategier, förfaranden, protokoll och verktyg för att skydda information under överföring. Finansiella entiteter ska särskilt säkerställa
  1. tillgänglighet, äkthet, integritet och konfidentialitet för uppgifter under överföring i nätverk, och inrättande av förfaranden för att bedöma efterlevnaden av dessa krav,
  2. förebyggande och upptäckt av dataläckage och säker överföring av information mellan den finansiella entiteten och externa parter,
  3. att krav på konfidentialitet eller tystnadsplikt som återspeglar den finansiella entitetens behov av skydd av information för både den finansiella entitetens och tredje parts personal införs, dokumenteras och regelbundet ses över.
1. Finansiella entiteter ska utforma strategier, förfaranden, protokoll och verktyg för att skydda den information under överföring som avses i punkt 1 på grundval av resultaten av den godkända dataklassificeringen och IKT-riskbedömningen.