Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 2 Allmänna delar av IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg
Summary What does Article 2 of the RTS on ICT risk management framework say?
This article establishes the core requirements for how financial entities must structure and maintain their ICT security policies.
It builds directly on Article 9(2) of DORA (Regulation (EU) 2022/2554), specifying that ICT security policies must be embedded within the broader ICT risk management framework.
Beyond setting out the fundamental security objectives these policies must achieve — network security, data protection, and reliable data transmission — the article goes into considerable detail about the formal characteristics those policies must have, covering everything from management body approval and staff responsibilities to alignment with the digital operational resilience strategy and responsiveness to material changes.
Important points:
- Embed ICT security policies within the ICT risk management framework, ensuring they cover network security, safeguards against intrusions, data integrity, and reliable transmission.
- Ensure ICT security policies are formally approved by the management body, aligned to the digital operational resilience strategy, and include indicators to monitor implementation and manage exceptions.
- ICT security policies must specify staff responsibilities and consequences of non-compliance, reflect segregation of duties, consider leading practices and standards, and be updated to account for material changes to the entity's activities, the cyber threat landscape, or applicable legal obligations.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Finansiella entiteter ska säkerställa att deras IKT-relaterade säkerhetsstrategier, informationssäkerhet och därtill hörande förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 är integrerade i deras IKT-riskhanteringsram. Finansiella entiteter ska inrätta IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg enligt detta kapitel som
säkerställer säkerheten i nätverk,
innehåller skyddsåtgärder mot intrång och missbruk av uppgifter,
bevarar uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet, inbegripet genom användning av krypteringsmetoder,
garanterar en korrekt och snabb dataöverföring utan allvarliga avbrott och onödiga dröjsmål.
Finansiella entiteter ska säkerställa att de IKT-relaterade säkerhetsstrategier som avses i punkt 1
är anpassade till den finansiella entitetens informationssäkerhetsmål som ingår i den strategi för digital operativ motståndskraft som avses i artikel 6.8 i förordning (EU) 2022/2554,
anger datumet för ledningsorganets formella godkännande av IKT-relaterade säkerhetsstrategier,
innehåller indikatorer och åtgärder för att
övervaka genomförandet av IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg,
registrera undantag från detta genomförande,
säkerställa att den finansiella entitetens digitala operativa motståndskraft säkerställs i samband med de undantag som avses i led ii,
specificerar ansvaret för personal på alla nivåer i fråga om att säkerställa den finansiella entitetens IKT-relaterade säkerhet,
anger konsekvenserna när den finansiella entitetens personal inte följer de IKT-relaterade säkerhetsstrategierna, om bestämmelser om detta inte fastställs i den finansiella entitetens övriga strategier,
förtecknar den dokumentation som ska bevaras,
specificerar arrangemangen för åtskillnad av arbetsuppgifter inom ramen för modellen med tre försvarslinjer eller en annan intern riskhanterings- och kontrollmodell, beroende på vad som är tillämpligt, i syfte att undvika intressekonflikter,
beaktar ledande praxis och, i tillämpliga fall, standarder enligt definitionen i artikel 2.1 i förordning (EU) nr 1025/2012,
identifierar roller och ansvarsområden för att utarbeta, genomföra och upprätthålla dessa IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg,
ses över i enlighet med artikel 6.5 i förordning (EU) 2022/2554,
tar hänsyn till väsentliga förändringar som rör den finansiella entiteten, inbegripet väsentliga förändringar i den finansiella entitetens verksamhet eller processer, i cyberhotbilden eller i tillämpliga rättsliga skyldigheter.
Relevant recitals
Skäl 2 Flexibility in documentation requirements compliance
Av samma skäl bör finansiella entiteter som omfattas av förordning (EU) 2022/2554 ha en viss flexibilitet när det gäller hur de uppfyller kraven avseende IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg, och avseende en förenklad IKT-riskhanteringsram. Finansiella entiteter bör därför tillåtas att använda all dokumentation som de redan har för att uppfylla samtliga dokumentationskrav som följer av dessa krav. Av detta följer att utarbetande, dokumentation och genomförande av specifika IKT-relaterade säkerhetsstrategier endast bör krävas för vissa väsentliga delar, med beaktande av bland annat ledande branschpraxis och branschstandarder. För att tillgodose specifika tekniska genomförandeaspekter är det dessutom nödvändigt att utarbeta, dokumentera och genomföra IKT-säkerhetsförfaranden, inbegripet kapacitets- och prestandahantering, hantering av sårbarheter och programfixar, data- och systemsäkerhet samt loggning.
Skäl 3 Importance of roles, responsibilities and non-compliance consequences
För att säkerställa ett korrekt genomförande över tid av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i avdelning II kapitel I i denna förordning är det viktigt att finansiella entiteter på ett korrekt sätt fördelar och upprätthåller alla roller och ansvarsområden som rör IKT-säkerhet, och att de fastställer konsekvenserna av bristande efterlevnad av IKT-relaterade säkerhetsstrategier eller säkerhetsförfaranden.
Skäl 4 Avoid conflicts of interests
För att begränsa risken för intressekonflikter bör de finansiella entiteterna säkerställa åtskillnad av arbetsuppgifter när de fördelar roller och ansvarsområden på IKT-området.
Skäl 5 Flexibility in provisions for non-compliance consequences
För att säkerställa flexibilitet och förenkla de finansiella entiteternas kontrollram bör finansiella entiteter inte vara skyldiga att utarbeta särskilda bestämmelser om konsekvenserna av bristande efterlevnad av de IKT-relaterade säkerhetsstrategier, förfaranden och protokoll som avses i avdelning II kapitel I i denna förordning om sådana bestämmelser redan fastställs i en annan strategi eller ett annat förfarande.
Skäl 6 Standards-based ICT security policies
I en dynamisk miljö där IKT-riskerna ständigt utvecklas är det viktigt att finansiella entiteter utvecklar sin uppsättning IKT-relaterade säkerhetsstrategier på grundval av ledande praxis och, i tillämpliga fall, standarder enligt definitionen i artikel 2.1 i Europaparlamentets och rådets förordning (EU) nr 1025/2012(2). Detta bör göra det möjligt för de finansiella entiteter som avses i avdelning II i denna förordning att förbli informerade och förberedda i en föränderlig miljö.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
digital operativ motståndskraft
(En. digital operational resilience)
Definition
sårbarhet
(En. vulnerability)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
nätverks- och informationssystem
(En. network and information system)
Footnote 2