Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 17 Hantering av IKT-förändringar
Summary What does Article 17 of the RTS on ICT risk management framework say?
This article elaborates on the ICT change management procedures that financial entities must have in place, building directly on the requirement in Article 9(4)(e) of DORA (Regulation (EU) 2022/2554).
It sets out the minimum content those procedures must cover for any change to software, hardware, firmware, systems, or security parameters — encompassing everything from roles and responsibilities, documentation, and fall-back procedures, to the handling of emergency changes both during and after their implementation.
The article also imposes an additional, more demanding obligation on central counterparties and central securities depositories specifically: following significant ICT system changes, they must conduct stringent stress-condition testing and involve relevant external parties in that process.
Important points:
- Include all mandated elements — such as independence of approval functions, fall-back procedures, and impact assessments on existing security measures — in your ICT change management procedures.
- Emergency changes must be covered by dedicated procedures, protocols, and tools, and must be documented, re-evaluated, assessed, and approved even after their implementation.
- Central counterparties and central securities depositories are required to conduct stringent stress-condition testing after significant ICT changes, involving clearing members, clients, users, and other relevant external parties as appropriate.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Som en del av skyddsåtgärderna för att bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet ska finansiella entiteter i de förfaranden för hantering av IKT-förändringar som avses i artikel 9.4 e i förordning (EU) 2022/2554, när det gäller alla ändringar av programvara, hårdvara, komponenter i fast programvara, system eller säkerhetsparametrar, inkludera samtliga följande delar:
En kontroll av huruvida IKT-säkerhetskraven har uppfyllts.
Mekanismer för att säkerställa oberoendet mellan de funktioner som godkänner förändringar och de funktioner som ansvarar för att begära och genomföra dessa förändringar.
En tydlig beskrivning av roller och ansvarsområden för att säkerställa att
förändringar specificeras och planeras,
en lämplig övergång utformas,
förändringarna testas och slutförs på ett kontrollerat sätt,
det finns en effektiv kvalitetssäkring.
Dokumentation och kommunikation av uppgifter om förändringar, inklusive
förändringens syfte och omfattning,
tidslinjen för genomförandet av förändringen,
de förväntade resultaten.
Identifiering av reservförfaranden och ansvarsområden för sådana, inklusive förfaranden och ansvarsområden för att avbryta förändringar eller återställa förändringar som inte genomförts framgångsrikt.
Förfaranden, protokoll och verktyg för hantering av akuta förändringar som innehåller tillräckliga skyddsåtgärder.
Förfaranden för att dokumentera, omvärdera, bedöma och godkänna akuta förändringar efter deras genomförande, inklusive kringgående operationer och programfixar.
Identifiering av den potentiella inverkan av en förändring på befintliga IKT-säkerhetsåtgärder och en bedömning av huruvida en sådan förändring kräver att ytterligare IKT-säkerhetsåtgärder vidtas.
Efter att ha gjort betydande förändringar i sina IKT-system ska centrala motparter och värdepapperscentraler låta sina IKT-system genomgå stränga tester genom att simulera ansträngda lägen.
Centrala motparter ska vid behov involvera följande i utformningen och genomförandet av de tester som avses i första stycket:
Clearingmedlemmar och clearingkunder.
Interoperabla centrala motparter.
Andra berörda parter.
Värdepapperscentraler ska vid behov involvera följande i utformningen och genomförandet av de tester som avses i första stycket:
Användare.
Kritiska försörjningstjänster och kritiska tjänsteleverantörer.
Andra värdepapperscentraler.
Andra marknadsinfrastrukturer.
Alla andra institut med vilka värdepapperscentralerna har identifierat ömsesidiga beroenden i sin IKT-kontinuitetspolicy.
Relevant recitals
Skäl 17 ICT change management policies and procedures
Förändringar, oavsett omfattning, medför inneboende risker och kan innebära betydande risker för att uppgifternas konfidentialitet, integritet och tillgänglighet förloras, och kan därmed leda till allvarliga störningar i verksamheten. För att skydda finansiella entiteter mot potentiella IKT-sårbarheter och IKT-svagheter som kan utsätta dem för betydande risker, är en strikt verifieringsprocess nödvändig för att bekräfta att alla förändringar uppfyller de nödvändiga IKT-säkerhetskraven. Finansiella entiteter som avses i avdelning II i denna förordning bör därför, som en väsentlig del av sina IKT-relaterade säkerhetsstrategier och förfaranden, införa sunda strategier och förfaranden för hantering av IKT-förändringar. För att upprätthålla objektiviteten och ändamålsenligheten i processen för hantering av IKT-förändringar, förhindra intressekonflikter och säkerställa att IKT-förändringar utvärderas objektivt, måste de funktioner som ansvarar för att godkänna dessa förändringar skiljas från de funktioner som begär och genomför dessa förändringar. För att uppnå effektiva omställningar, kontrollerat genomförande av IKT-förändringar och minimala störningar i driften av IKT-systemen bör de finansiella entiteterna fastställa tydliga roller och ansvarsområden som säkerställer att IKT-förändringar planeras och testas på lämpligt sätt och att kvaliteten säkerställs. För att säkerställa att IKT-system fortsätter att fungera effektivt, och för att tillhandahålla ett skyddsnät för finansiella entiteter, bör finansiella entiteter också utveckla och genomföra reservförfaranden. Finansiella entiteter bör tydligt identifiera dessa reservförfaranden och tilldela ansvar för att säkerställa en snabb och effektiv respons i händelse av misslyckade IKT-förändringar.
Skäl 24 Additional requirements for financial market infrastructure participants
Det är nödvändigt att fastställa krav för operativ risk, och mer specifikt krav på IKT-projekthantering och hantering av IKT-förändringar samt IKT-kontinuitetshantering med utgångspunkt i de krav som redan gäller för centrala motparter, värdepapperscentraler och handelsplatser enligt Europaparlamentets och rådets förordningar (EU) nr 648/2012(3), (EU) nr 600/2014(4) och (EU) nr 909/2014(5).
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
värdepapperscentral
(En. central securities depository)
Definition
handelsplats
(En. trading venue)
Footnote 5
Footnote 4
Footnote 3