Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 15 IKT-projekthantering
Summary What does Article 15 of the RTS on ICT risk management framework say?
This article requires financial entities to put in place a formal ICT project management policy, framed as one of the safeguards for preserving data availability, authenticity, integrity, and confidentiality.
It sets out the core components that such a policy must cover — from objectives and governance through to risk assessment, change management, and production deployment testing.
Notably, the article connects project management directly to senior oversight, requiring that ICT projects affecting critical or important functions be reported to the management body, reinforcing the governance thread running throughout the regulation.
Important points:
- Develop, document, and implement an ICT project management policy covering objectives, governance, planning, risk assessment, milestones, change management, and security testing.
- Ensure the policy draws on information and expertise from the business areas or functions affected by each ICT project.
- Report the progress and associated risks of ICT projects impacting critical or important functions to the management body, both periodically and on an event-driven basis.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Som en del av skyddsåtgärderna för att bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet ska finansiella entiteter utarbeta, dokumentera och genomföra en policy för IKT-projekthantering.
Den policy för IKT-projekthantering som avses i punkt 1 ska ange de delar som säkerställer en ändamålsenlig IKT-projekthantering i samband med förvärv, underhåll och, i tillämpliga fall, utveckling av den finansiella entitetens IKT-system.
Den policy för IKT-projekthantering som avses i punkt 1 ska innehålla allt av följande:
IKT-projektets mål.
IKT-projektets styrning, inklusive roller och ansvarsområden.
IKT-projektets planering, tidsram och steg.
Riskbedömning av IKT-projektet.
Relevanta delmål.
Krav på förändringshantering.
Testning av alla krav, inklusive säkerhetskrav, och respektive godkännandeprocess vid införande av ett IKT-system i produktionsmiljön.
Den policy för IKT-projekthantering som avses i punkt 1 ska säkerställa ett säkert genomförande av IKT-projekt genom tillhandahållande av nödvändig information och expertis från det affärsområde eller de funktioner som påverkas av IKT-projektet.
I enlighet med den riskbedömning av IKT-projekt som avses i punkt 3 d ska den policy för IKT-projekthantering som avses i punkt 1 föreskriva att inrättandet och utvecklingen av IKT-projekt som påverkar den finansiella entitetens kritiska eller viktiga funktioner och tillhörande risker rapporteras till ledningsorganet enligt följande:
Individuellt eller i aggregerad form, beroende på IKT-projektens betydelse och storlek.
Regelbundet och, vid behov, händelsebaserat.
Relevant recitals
Skäl 15 ICT project management
För att hantera den snabba utvecklingen inom IKT-miljöer bör de finansiella entiteter som avses i avdelning II i denna förordning införa solida strategier och förfaranden för IKT-projekthantering för att upprätthålla uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet. Dessa strategier och förfaranden för IKT-projekthantering bör identifiera de delar som är nödvändiga för att framgångsrikt hantera IKT-projekt, inbegripet förändringar, förvärv, underhåll och utveckling av den finansiella entitetens IKT-system, oavsett vilken metod för IKT-projekthantering som den finansiella entiteten har valt. I samband med dessa strategier och förfaranden bör finansiella entiteter tillämpa testpraxis och testmetoder som passar deras behov, samtidigt som de följer en riskbaserad metod och säkerställer att en säker, tillförlitlig och motståndskraftig IKT-miljö upprätthålls. För att garantera ett säkert genomförande av ett IKT-projekt bör de finansiella entiteterna säkerställa att personal från specifika affärssektorer eller med roller som påverkas eller berörs av IKT-projektet kan tillhandahålla nödvändig information och expertis. För att säkerställa en effektiv tillsyn bör rapporter om IKT-projekt, särskilt om projekt som berör kritiska eller viktiga funktioner och om deras tillhörande risker, lämnas till ledningsorganet. Finansiella entiteter bör anpassa frekvensen för och inslagen i de systematiska och löpande översynerna och rapporterna till de berörda IKT-projektens betydelse och storlek.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
ledningsorgan
(En. management body)