Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 24 Komponenter i IKT-kontinuitetspolicyn
Summary What does Article 24 of the RTS on ICT risk management framework say?
This article sets out the required content of the ICT business continuity policy that financial entities must maintain, building directly on Article 11(1) of DORA.
It covers the core elements all financial entities must include — from policy objectives and scope, through governance and recovery objectives, to alignment with crisis communications.
Beyond these baseline requirements, the article then layers on additional, more stringent obligations for specific types of entity: central counterparties, central securities depositories, and trading venues each face their own tailored requirements, particularly around hard recovery time limits and infrastructure redundancy.
Important points:
- Include in your ICT business continuity policy the core foundational elements: policy objectives informed by the business impact analysis, scope, activation criteria, governance arrangements, and alignment with overall business continuity and crisis communication plans.
- Central counterparties, central securities depositories, and trading venues are subject to additional requirements on top of the baseline, most notably a maximum recovery time objective of 2 hours for critical or important functions.
- Central counterparties must also maintain a secondary processing site with a geographically distinct risk profile from the primary site, capable of ensuring identical continuity of critical or important functions.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Finansiella entiteter ska i sin IKT-kontinuitetspolicy som avses i artikel 11.1 i förordning (EU) 2022/2554 inkludera allt av följande:
En beskrivning av
målen för IKT-kontinuitetspolicyn, inbegripet sambandet mellan IKT och övergripande kontinuitet, och med beaktande av resultaten av den verksamhetskonsekvensanalys som avses i artikel 11.5 i förordning (EU) 2022/2554,
omfattningen av arrangemang, planer, förfaranden och mekanismer för IKT-kontinuitet, inklusive begränsningar och uteslutningar,
den tidsram som ska täckas av arrangemangen, planerna, förfarandena och mekanismerna för IKT-kontinuitet,
kriterierna för att aktivera och inaktivera IKT-kontinuitetsplaner, åtgärds- och återställningsplaner avseende IKT samt kriskommunikationsplaner.
Bestämmelser om
styrning och organisation för att genomföra IKT-kontinuitetspolicyn, inklusive roller, ansvarsområden och eskaleringsförfaranden, som säkerställer att tillräckliga resurser finns tillgängliga,
anpassning mellan IKT-kontinuitetsplanerna och de övergripande kontinuitetsplanerna, med avseende på åtminstone
scenarier för potentiella fel, inbegripet de scenarier som avses i artikel 26.2 i denna förordning,
återställningsmål, som anger att den finansiella entiteten ska kunna återställa driften av sina kritiska eller viktiga funktioner efter avbrott inom ett fastställt mål för återställningstid och ett fastställt mål för återställningspunkt,
utarbetande av IKT-kontinuitetsplaner med allvarliga störningar i verksamheten som en del av dessa planer, och prioritering av IKT-kontinuitetsåtgärder med hjälp av en riskbaserad metod,
utarbetande, testning och översyn av åtgärds- och återställningsplaner avseende IKT, i enlighet med artiklarna 25 och 26 i denna förordning,
granskning av ändamålsenligheten hos de genomförda arrangemangen, planerna, förfarandena och mekanismerna för IKT-kontinuitet, i enlighet med artikel 26 i denna förordning,
anpassning av IKT-kontinuitetspolicyn till
den kommunikationsstrategi som avses i artikel 14.2 i förordning (EU) 2022/2554,
de kommunikations- och krishanteringsinsatser som avses i artikel 11.2 e i förordning (EU) 2022/2554.
Utöver de krav som avses i punkt 1 ska centrala motparter säkerställa att deras IKT-kontinuitetspolicy
innehåller en maximal återställningstid för deras kritiska funktioner som inte är längre än två timmar,
tar hänsyn till externa kopplingar och ömsesidiga beroenden inom de finansiella infrastrukturerna, inklusive handelsplatser som clearas av den centrala motparten, avvecklings- och betalningssystem för värdepapper samt kreditinstitut som används av den centrala motparten eller en anknuten central motpart,
kräver att det finns arrangemang för att
säkerställa kontinuiteten för kritiska eller viktiga funktioner hos den centrala motparten baserat på katastrofscenarier,
upprätthålla ett sekundärt driftställe som kan säkerställa kontinuiteten i kritiska eller viktiga funktioner hos den centrala motparten, vilket är identiskt med det primära driftstället,
upprätthålla eller ha omedelbar tillgång till en reservplats för verksamheten, så att personalen kan säkerställa tjänstens kontinuitet om den primära verksamhetsplatsen inte är tillgänglig,
överväga behovet av ytterligare driftställen, särskilt om de primära och sekundära driftställenas olika riskprofiler inte ger tillräckligt förtroende för att den centrala motpartens kontinuitetsmål kommer att uppfyllas i alla scenarier.
Vid tillämpning av led a ska centrala motparter under alla omständigheter slutföra förfaranden och betalningar vid dagens slut på utsatt tid och dag.
Vid tillämpning av led c i ska de arrangemang som avses i det ledet omfatta tillgång till tillräcklig personal, maximal längd för avbrott i kritiska funktioner, omkoppling och återställning till ett sekundärt driftställe.
Vid tillämpning av led c ii ska det sekundära driftställe som avses i det ledet ha en annan geografisk riskprofil än det primära driftstället.
Utöver de krav som avses i punkt 1 ska värdepapperscentraler säkerställa att deras IKT-kontinuitetspolicy
tar hänsyn till eventuella kopplingar till och ömsesidiga beroenden med användare, kritiska försörjningstjänster och kritiska tjänsteleverantörer, andra värdepapperscentraler och andra marknadsinfrastrukturer,
kräver att deras arrangemang för IKT-kontinuitet säkerställer att målet för återställningstiden för deras kritiska eller viktiga funktioner inte ska vara längre än två timmar.
Utöver de krav som avses i punkt 1 ska handelsplatser säkerställa att deras IKT-kontinuitetspolicy säkerställer att
handeln kan återupptas inom eller strax efter två timmar efter en incident som orsakar störningar,
den maximala mängden uppgifter som kan förloras från någon av handelsplatsens it-tjänster efter en incident som orsakar störningar är nära noll.
Relevant recitals
Skäl 22 Holistic ICT business contiuity view
När finansiella entiteter som avses i avdelning II i denna förordning utarbetar en IKT-kontinuitetspolicy bör de ta hänsyn till de väsentliga komponenterna i IKT-riskhantering, inbegripet strategier för hantering och kommunikation av IKT-relaterade incidenter, processen för hantering av IKT-förändringar och risker förknippade med tredjepartsleverantörer av IKT-tjänster.
Skäl 24 Additional requirements for financial market infrastructure participants
Det är nödvändigt att fastställa krav för operativ risk, och mer specifikt krav på IKT-projekthantering och hantering av IKT-förändringar samt IKT-kontinuitetshantering med utgångspunkt i de krav som redan gäller för centrala motparter, värdepapperscentraler och handelsplatser enligt Europaparlamentets och rådets förordningar (EU) nr 648/2012(3), (EU) nr 600/2014(4) och (EU) nr 909/2014(5).
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
kreditinstitut
(En. credit institution)
Definition
central motpart
(En. central counterparty)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
värdepapperscentral
(En. central securities depository)
Definition
handelsplats
(En. trading venue)
Footnote 5
Footnote 4
Footnote 3