Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 25 Testning av IKT-kontinuitetsplanerna
Summary What does Article 25 of the RTS on ICT risk management framework say?
This article builds directly on Article 24, which establishes the ICT business continuity policy, by setting out the detailed requirements for how financial entities must actually test those plans.
The core purpose is to ensure that testing is rigorous and meaningful — grounded in the entity's business impact analysis and ICT risk assessment — and that it genuinely verifies whether critical or important functions can be kept running through disruptions.
The article also extends specific obligations to central counterparties and central securities depositories, requiring them to involve relevant external parties, such as clearing members and other market infrastructures, in their testing exercises.
Important points:
- Test ICT business continuity plans using realistic, severe but plausible disruption scenarios, including switchover to backup infrastructure (for all entities except microenterprises), and scenarios covering potential failures of ICT third-party service providers.
- Central counterparties and central securities depositories must involve relevant external stakeholders — such as clearing members, external providers, and other market infrastructures — in their business continuity testing.
- Document all testing results and ensure that any deficiencies identified are analysed, addressed, and reported to the management body.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
När finansiella entiteter testar IKT-kontinuitetsplanerna i enlighet med artikel 11.6 i förordning (EU) 2022/2554 ska de ta hänsyn till den finansiella entitetens verksamhetskonsekvensanalys och den IKT-riskbedömning som avses i artikel 3 första stycket b i den här förordningen.
Finansiella entiteter ska genom testning av sina IKT-kontinuitetsplaner enligt punkt 1 bedöma om de kan säkerställa kontinuiteten i sina kritiska eller viktiga funktioner. Denna testning ska
utföras på grundval av testscenarier som simulerar potentiella avbrott, inklusive en lämplig uppsättning allvarliga men troliga scenarier,
innefatta IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster, i tillämpliga fall,
för andra finansiella entiteter än mikroföretag enligt artikel 11.6 andra stycket i förordning (EU) 2022/2554, innehålla scenarier för byten från primär IKT-infrastruktur till reservkapacitet, säkerhetskopior och reservanläggningar,
vara utformad för att pröva de antaganden som kontinuitetsplanerna bygger på, inbegripet styrningsarrangemang och kriskommunikationsplaner,
innehålla förfaranden för att kontrollera förmågan hos de finansiella entiteternas personal, tredjepartsleverantörer av IKT-tjänster, IKT-system och IKT-tjänster att reagera på ett adekvat sätt på de scenarier som vederbörligen beaktas i enlighet med artikel 26.2.
Vid tillämpning av led a ska finansiella entiteter alltid inkludera de scenarier som beaktats vid utarbetandet av kontinuitetsplanerna i testerna.
Vid tillämpning av led b ska finansiella entiteter vederbörligen beakta scenarier kopplade till insolvens eller misslyckanden hos tredjepartsleverantörer av IKT-tjänster eller kopplade till politiska risker i tredjepartsleverantörernas jurisdiktioner, i relevanta fall.
Vid tillämpning av led c ska testningen verifiera om åtminstone kritiska eller viktiga funktioner kan drivas på lämpligt sätt under en tillräckligt lång tidsperiod och om den normala funktionen kan återställas.
Utöver de krav som avses i punkt 2 ska centrala motparter vid testningen av sina IKT-kontinuitetsplaner enligt punkt 1 involvera
clearingmedlemmar,
externa leverantörer,
relevanta institut i den finansiella infrastrukturen med vilka de centrala motparterna har identifierat ömsesidiga beroenden i sina kontinuitetspolicyer.
Utöver de krav som avses i punkt 2 ska värdepapperscentraler vid testningen av sina IKT-kontinuitetsplaner enligt punkt 1 i tillämpliga fall involvera
användare av värdepapperscentralerna,
kritiska försörjningstjänster och kritiska tjänsteleverantörer,
andra värdepapperscentraler,
andra marknadsinfrastrukturer,
alla andra institut med vilka värdepapperscentralerna har identifierat ömsesidiga beroenden i sin kontinuitetspolicy.
Finansiella entiteter ska dokumentera resultaten av den testning som avses i punkt 1. Alla brister som identifieras till följd av denna testning ska analyseras, åtgärdas och rapporteras till ledningsorganet.
Relevant recitals
Skäl 24 Additional requirements for financial market infrastructure participants
Det är nödvändigt att fastställa krav för operativ risk, och mer specifikt krav på IKT-projekthantering och hantering av IKT-förändringar samt IKT-kontinuitetshantering med utgångspunkt i de krav som redan gäller för centrala motparter, värdepapperscentraler och handelsplatser enligt Europaparlamentets och rådets förordningar (EU) nr 648/2012(3), (EU) nr 600/2014(4) och (EU) nr 909/2014(5).
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
central motpart
(En. central counterparty)
Definition
transaktionsregister
(En. trade repository)
Definition
mikroföretag
(En. microenterprise)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
ledningsorgan
(En. management body)
Definition
värdepapperscentral
(En. central securities depository)
Definition
handelsplats
(En. trading venue)
Footnote 5
Footnote 4
Footnote 3