Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 27 Formatet för och innehållet i rapporten om översynen av IKT-riskhanteringsramen

Summary What does Article 27 of the RTS on ICT risk management framework say?

This article sets out the detailed content requirements for the report that financial entities must produce following a review of their ICT risk management framework, as required under Article 6(5) of DORA.

It is essentially a prescriptive template article, specifying exactly what must be included in that report, from an introductory context-setting section through to findings, remediation measures, past review history, and the sources of information drawn upon.

Notably, the article requires that where a review was triggered by supervisory instructions, ICT-related incidents, or audit conclusions, the report must explicitly reference those triggers, including root-cause analysis where incidents were involved.

Important points:

  • Submit the ICT risk management framework review report in a searchable electronic format, covering all prescribed content including findings, remediation plans, past reviews, and information sources.
  • Where weaknesses or gaps are identified but no corrective measures are taken, include a detailed justification explaining the criteria used to assess the impact and accept the residual ICT risk.
  • The report must be approved by the management body, and for financial entities other than microenterprises, internal audit results must be included among the sources used in its preparation.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Finansiella entiteter ska lämna in den rapport om översynen av IKT-riskhanteringsramen som avses i artikel 6.5 i förordning (EU) 2022/2554 i ett sökbart elektroniskt format.

    1. Finansiella entiteter ska ta med all följande information i den rapport som avses i punkt 1:

      1. Ett inledande avsnitt som

        1. tydligt identifierar den finansiella entitet som är föremål för rapporten och beskriver dess koncernstruktur, där så är relevant,

        2. beskriver bakgrunden till rapporten med avseende på karaktären på, omfattningen av och komplexiteten i den finansiella entitetens tjänster, verksamhet och insatser, den finansiella entitetens organisation, identifierade kritiska funktioner, strategi, större pågående projekt eller aktiviteter, relationer och beroende av interna och utkontrakterade IKT-tjänster och IKT-system eller de konsekvenser som en total förlust eller allvarlig försämring av sådana system skulle få med avseende på kritiska eller viktiga funktioner och marknadseffektivitet,

        3. sammanfattar de större förändringarna i IKT-riskhanteringsramen sedan den föregående inlämnade rapporten,

        4. på verkställande nivå sammanfattar den aktuella IKT-riskprofilen och IKT-riskprofilen för närmare tid, hotbilden, den bedömda effektiviteten av dess kontroller och den finansiella entitetens säkerhetsstatus.

      2. Datum för godkännande av rapporten av den finansiella entitetens ledningsorgan.

      3. En beskrivning av skälet till översynen av IKT-riskhanteringsramen i enlighet med artikel 6.5 i förordning (EU) 2022/2554.

      4. Start- och slutdatum för översynsperioden.

      5. En uppgift om vilken funktion som ansvarar för översynen.

      6. En beskrivning av större förändringar och förbättringar av IKT-riskhanteringsramen sedan den föregående översynen.

      7. En sammanfattning av resultaten av översynen och en detaljerad analys och bedömning av hur allvarliga svagheterna, bristerna och luckorna i IKT-riskhanteringsramen har varit under översynsperioden.

      8. En beskrivning av åtgärderna för att hantera identifierade svagheter, brister och luckor, inklusive

        1. en sammanfattning av de åtgärder som vidtagits för att avhjälpa identifierade svagheter, brister och luckor,

        2. ett förväntat datum för genomförande av åtgärderna och datum för den interna kontrollen av genomförandet, inklusive information om hur långt genomförandet av dessa åtgärder har kommit vid tidpunkten för upprättandet av rapporten och i tillämpliga fall med uppgift om huruvida det finns en risk för att tidsfristerna inte kan hållas,

        3. verktyg som ska användas och identifiering av den funktion som ansvarar för att genomföra åtgärderna, med angivande av om verktygen och funktionerna är interna eller externa,

        4. en beskrivning av hur de förändringar som planeras i åtgärderna påverkar den finansiella entitetens budgetmedel, personalresurser och materiella resurser, inklusive resurser som avsatts för genomförandet av eventuella korrigerande åtgärder,

        5. information om processen för att informera den behöriga myndigheten, i relevanta fall,

        6. om de identifierade svagheterna, bristerna eller luckorna inte är föremål för korrigerande åtgärder, en detaljerad beskrivning av de kriterier som används för att analysera effekterna av dessa svagheter, brister eller luckor, för att utvärdera den relaterade kvarstående IKT-risken och för att acceptera den relaterade kvarstående risken.

      9. Information om planerad vidareutveckling av IKT-riskhanteringsramen.

      10. Slutsatser från översynen av IKT-riskhanteringsramen.

      11. Information om tidigare översyner, inklusive

        1. en förteckning över tidigare gjorda översyner,

        2. i tillämpliga fall, en lägesrapport om genomförandet av de korrigerande åtgärder som identifierades i den senaste rapporten,

        3. om de föreslagna korrigerande åtgärderna i tidigare översyner har visat sig vara ineffektiva eller har inneburit oväntade utmaningar, en beskrivning av hur dessa korrigerande åtgärder skulle kunna förbättras eller av dessa oväntade utmaningar.

      12. Informationskällor som använts vid utarbetandet av rapporten, inklusive

        1. för andra finansiella entiteter än mikroföretag enligt artikel 6.6 i förordning (EU) 2022/2554, resultaten av internrevisioner,

        2. resultaten av bedömningar av efterlevnaden,

        3. resultaten av testning av digital operativ motståndskraft, och i tillämpliga fall resultaten av avancerad testning, baserad på hotbildsstyrd penetrationstestning, av IKT-verktyg, IKT-system och IKT-processer,

        4. externa källor.

    2. Vid tillämpning av led c ska rapporten, om översynen initierades till följd av tillsynsinstruktioner eller slutsatser från relevanta testningsprocesser för digital operativ motståndskraft eller revisionsprocesser, innehålla uttryckliga hänvisningar till sådana instruktioner eller slutsatser, vilket gör det möjligt att identifiera skälet till att översynen initierades. Om översynen initierades med anledning av IKT-relaterade incidenter ska rapporten innehålla en förteckning över alla IKT-relaterade incidenter med en analys av grundorsaken till respektive incident.

    3. Vid tillämpning av led f ska beskrivningen innehålla en analys av förändringarnas inverkan på den finansiella entitetens strategi för digital operativ motståndskraft, på den finansiella entitetens interna IKT-kontrollram och på den finansiella entitetens styrning av IKT-riskhantering.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod