Artikel 23 Upptäckt av onormal verksamhet och kriterier för upptäckt och hantering av IKT-relaterade incidenter

Summary What does Article 23 of the RTS on ICT risk management framework say?

This article provides the operational detail behind the detection and response mechanisms that financial entities must have in place for ICT-related incidents and anomalous activities.

It builds directly on Article 10 of DORA (Regulation (EU) 2022/2554), translating that high-level requirement into concrete obligations around how detection tools must function, what data must be collected and logged, and what criteria should trigger a formal incident response process.

The article covers the full detection lifecycle: collecting and monitoring internal and external signals, generating automated alerts for critical assets, prioritising those alerts around the clock, and securely recording all findings.

It also sets out specific triggers — such as signs of malicious activity, data loss, operational disruption, or system unavailability — that financial entities must use to activate their incident detection and response processes.

Important points:

Implement detection mechanisms that collect, monitor, and analyse internal and external signals — including logs, threat intelligence, and notifications from ICT third-party service providers — and generate automated alerts for assets supporting critical or important functions.
Ensure all recordings of anomalous activities are logged with timestamps and type of activity, and are protected against tampering and unauthorised access at rest, in transit, and where relevant, in use.
Use defined criteria — including indications of malicious activity, data loss, operational impact, and system unavailability — to trigger the ICT-related incident detection and response processes, also taking into account the criticality of the services affected.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Finansiella entiteter ska fastställa tydliga roller och ansvarsområden för att på ett ändamålsenligt sätt upptäcka och hantera IKT-relaterade incidenter och onormal verksamhet.
1. Mekanismen för att snabbt upptäcka onormal verksamhet, inbegripet frågor som rör IKT-nätverkens prestanda och IKT-relaterade incidenter, som avses i artikel 10.1 i förordning (EU) 2022/2554, ska göra det möjligt för finansiella entiteter att
  1. samla in, övervaka och analysera
    interna och externa faktorer, inklusive åtminstone de loggar som samlats in i enlighet med artikel 12 i denna förordning, information från affärsfunktioner och IKT-funktioner samt eventuella problem som rapporterats av användare av den finansiella entiteten,
    potentiella interna och externa cyberhot, med beaktande av scenarier som vanligtvis används av fientliga aktörer och scenarier baserade på underrättelser om hot,
    underrättelser från en tredjepartsleverantör av IKT-tjänster till den finansiella entiteten om IKT-relaterade incidenter som upptäckts i IKT-system och IKT-nätverk hos tredjepartsleverantören av IKT-tjänster och som kan beröra den finansiella entiteten,
  2. identifiera onormal verksamhet och onormalt beteende, och införa verktyg som utfärdar varningar för onormal verksamhet och onormalt beteende, åtminstone för IKT-tillgångar och informationstillgångar som stöder kritiska eller viktiga funktioner,
  3. prioritera de varningar som avses i led b för att möjliggöra hantering av de upptäckta IKT-relaterade incidenterna inom den förväntade åtgärdstiden, enligt vad som anges av finansiella entiteter, både under och utanför arbetstid,
  4. registrera, analysera och utvärdera all relevant information om all onormal verksamhet och allt onormalt beteende automatiskt eller manuellt.
2. Vid tillämpning av led b ska de verktyg som avses i det ledet innehålla verktyg som tillhandahåller automatiska varningar baserade på fördefinierade regler för att identifiera avvikelser som påverkar datakällornas eller logginsamlingens fullständighet och integritet.
1. Finansiella entiteter ska skydda all registrering av onormal verksamhet mot manipulering och obehörig åtkomst i vila, under överföring och, i relevanta fall, i bruk.
1. För varje upptäckt onormal verksamhet ska finansiella entiteter logga all relevant information, vilken möjliggör
  1. identifiering av datum och tidpunkt för uppkomst av den onormala verksamheten,
  2. identifiering av datum och tidpunkt för upptäckt av den onormala verksamheten,
  3. identifiering av typen av onormal verksamhet.
1. Finansiella entiteter ska beakta samtliga följande kriterier för att utlösa de processer för upptäckt och hantering av IKT-relaterade incidenter som avses i artikel 10.2 i förordning (EU) 2022/2554:
  1. Indikationer på att skadlig verksamhet kan ha utförts i ett IKT-system eller IKT-nätverk, eller att ett sådant IKT-system eller IKT-nätverk kan ha komprometterats.
  2. Dataförluster som upptäcks när det gäller uppgifters tillgänglighet, äkthet, integritet och konfidentialitet.
  3. Upptäckt negativ påverkan på den finansiella entitetens transaktioner och verksamhet.
  4. IKT-systems och IKT-nätverks otillgänglighet.
1. Vid tillämpning av punkt 5 ska finansiella entiteter också beakta hur kritiska de berörda tjänsterna är.

Relevant recitals

Skäl 9 Encryption and cryptographic controls

Kryptografiska säkerhetsåtgärder kan säkerställa uppgifters tillgänglighet, äkthet, integritet och konfidentialitet. Finansiella entiteter som avses i avdelning II i denna förordning bör därför identifiera och genomföra sådana åtgärder baserat på en riskbaserad metod. I detta syfte bör de finansiella entiteterna kryptera de berörda uppgifterna i vila, under överföring eller, vid behov, i bruk, baserat på resultaten av en tvådelad process, nämligen dataklassificering och en heltäckande IKT-riskbedömning. Med tanke på komplexiteten i att kryptera uppgifter i bruk bör de finansiella entiteter som avses i avdelning II i denna förordning endast kryptera uppgifter i bruk om det är lämpligt mot bakgrund av resultaten av IKT-riskbedömningen. De finansiella entiteter som avses i avdelning II i denna förordning bör dock, om kryptering av uppgifter i bruk inte är genomförbar eller är alltför komplex, kunna skydda de berörda uppgifternas konfidentialitet, integritet och tillgänglighet genom andra IKT-säkerhetsåtgärder. Med tanke på den snabba tekniska utvecklingen inom området för krypteringsmetoder bör de finansiella entiteter som avses i avdelning II i denna förordning hålla sig à jour med den relevanta utvecklingen inom kryptoanalys och beakta ledande praxis och standarder. De finansiella entiteter som avses i avdelning II i denna förordning bör därför följa en flexibel strategi, baserad på riskreducering och riskövervakning, för att hantera den dynamiska utvecklingen av kryptografiska hot, inbegripet hot från framsteg inom kvantteknik.

Skäl 19 Detection of anomalous activities

För att garantera en tidig och effektiv upptäckt av onormal verksamhet bör de finansiella entiteter som avses i avdelning II i denna förordning samla in, övervaka och analysera de olika informationskällorna och fördela relaterade roller och ansvarsområden. När det gäller interna informationskällor är loggar en ytterst relevant källa, men finansiella entiteter bör inte förlita sig enbart på loggar. I stället bör de finansiella entiteterna överväga att bredda informationen till att omfatta vad som rapporteras av andra interna funktioner, eftersom dessa funktioner ofta är en värdefull källa till relevant information. Av samma skäl bör finansiella entiteter analysera och övervaka information som samlats in från externa källor, inklusive information som tillhandahålls av tredjepartsleverantörer av IKT-tjänster om incidenter som berör deras system och nätverk, och andra informationskällor som finansiella entiteter anser vara relevanta. I den mån sådan information utgör personuppgifter är unionens dataskyddslagstiftning tillämplig. Personuppgifterna bör begränsas till vad som är nödvändigt för att upptäcka incidenter.

Skäl 20 Incident evidence retention

För att underlätta upptäckt av IKT-relaterade incidenter bör finansiella entiteter bevara bevisning för sådana incidenter. För att å ena sidan säkerställa att sådan bevisning bevaras tillräckligt länge och å andra sidan undvika en alltför stor regelbörda, bör finansiella entiteter fastställa lagringstiden med beaktande av bland annat uppgifternas kritikalitet och lagringskrav som härrör från unionsrätten.

Skäl 21 Comprehensive triggers for ICT-related incidents

För att säkerställa att IKT-relaterade incidenter upptäcks i tid bör de finansiella entiteter som avses i avdelning II i denna förordning betrakta de kriterier som fastställs för att utlösa processer för upptäckt och hantering av IKT-relaterade incidenter som icke uttömmande. Även om finansiella entiteter bör beakta vart och ett av dessa kriterier, bör vidare de omständigheter som beskrivs i kriterierna inte behöva inträffa samtidigt, och betydelsen av de berörda IKT-tjänsterna bör beaktas på lämpligt sätt vid utlösandet av processer för upptäckt och hantering av IKT-relaterade incidenter.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.