Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 26 Åtgärds- och återställningsplaner avseende IKT

Summary What does Article 26 of the RTS on ICT risk management framework say?

This article sets out the detailed requirements for ICT response and recovery plans, building directly on the ICT business continuity policy framework established in Article 24.

It requires financial entities to ground these plans in their business impact analysis and covers everything from the conditions triggering plan activation, to the range of disruption scenarios that must be accounted for.

Notably, the article provides an extensive and explicit list of scenarios that plans must address, ranging from cyber-attacks and insider threats to natural disasters, political instability, and widespread power outages, reflecting the broad threat landscape financial entities must prepare for.

Important points:

  • Develop ICT response and recovery plans that are rooted in the business impact analysis, cover both short- and long-term recovery options, and are documented and accessible to relevant staff with clearly assigned roles and responsibilities.
  • Ensure your plans account for a wide range of defined disruption scenarios, including cyber-attacks, ICT third-party service provider failures, staff unavailability, and physical or environmental disasters.
  • Implement continuity measures within your plans to specifically mitigate failures of ICT third-party service providers supporting critical or important functions.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Vid utarbetandet av de åtgärds- och återställningsplaner avseende IKT som avses i artikel 11.3 i förordning (EU) 2022/2554 ska finansiella entiteter ta hänsyn till resultaten av den finansiella entitetens verksamhetskonsekvensanalys. Dessa åtgärds- och återställningsplaner avseende IKT ska

      1. ange de villkor som föranleder deras aktivering eller inaktivering, och eventuella undantag från sådan aktivering eller inaktivering,

      2. beskriva vilka åtgärder som ska vidtas för att säkerställa tillgänglighet, integritet och kontinuitet för och återställning av åtminstone IKT-system och IKT-tjänster som stöder kritiska eller viktiga funktioner hos den finansiella entiteten,

      3. vara utformade för att uppfylla återställningsmålen för de finansiella entiteternas verksamhet,

      4. dokumenteras och göras tillgängliga för den personal som är involverad i genomförandet av åtgärds- och återställningsplaner avseende IKT och vara lättillgängliga i nödsituationer,

      5. innehålla alternativ för återställning på både kort och lång sikt, inbegripet partiell systemåterställning,

      6. fastställa målen för åtgärds- och återställningsplaner avseende IKT och villkoren för att konstatera att dessa planer har genomförts på ett framgångsrikt sätt.

    2. Vid tillämpning av led d ska finansiella entiteter tydligt ange roller och ansvarsområden.

    1. De åtgärds- och återställningsplaner avseende IKT som avses i punkt 1 ska identifiera relevanta scenarier, inbegripet scenarier med allvarliga störningar i verksamheten och ökad sannolikhet för att störningar inträffar. Dessa planer ska utveckla scenarier baserade på aktuell information om hot och på lärdomar från tidigare störningar i verksamheten. Finansiella entiteter ska vederbörligen beakta samtliga följande scenarier:

      1. Cyberangrepp och byten mellan primär IKT-infrastruktur och reservkapacitet, säkerhetskopior och reservanläggningar.

      2. Scenarier där kvaliteten på tillhandahållandet av en kritisk eller viktig funktion försämras till en oacceptabel nivå eller uteblir, och den potentiella effekten av insolvens, eller andra misslyckanden, hos någon relevant tredjepartsleverantör av IKT-tjänster.

      3. Partiellt eller totalt bortfall av lokaler, inklusive kontors- och affärslokaler samt datacentraler.

      4. Betydande fel på IKT-tillgångar eller på kommunikationsinfrastrukturen.

      5. Avsaknad av ett kritiskt antal anställda eller anställda som ansvarar för att garantera verksamhetens kontinuitet.

      6. Effekter av händelser relaterade till klimatförändringar och miljöförstöring, naturkatastrofer, pandemier och fysiska angrepp, inklusive intrång och terrorattentat.

      7. Angrepp inifrån.

      8. Politisk och social instabilitet, inklusive i relevanta fall inom tredjepartsleverantörens av IKT-tjänster jurisdiktion och på den plats där uppgifter lagras och behandlas.

      9. Omfattande strömavbrott.

    1. Om de primära återställningsåtgärderna kanske inte är genomförbara på kort sikt på grund av kostnader, risker, logistik eller oförutsedda omständigheter, ska de åtgärds- och återställningsplaner avseende IKT som avses i punkt 1 överväga alternativa möjligheter.

    1. Som en del av de åtgärds- och återställningsplaner avseende IKT som avses i punkt 1 ska finansiella entiteter överväga och genomföra kontinuitetsåtgärder för att begränsa misslyckanden hos tredjepartsleverantörer av IKT-tjänster att tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner hos den finansiella entiteten.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod