Artikel 29 Riktlinjer och åtgärder för informationssäkerhet

Summary What does Article 29 of the RTS on ICT risk management framework say?

This article applies specifically to the smaller financial entities subject to the simplified ICT risk management framework under Article 16(1) of DORA.

It requires those entities to establish an information security policy as the foundation for their ICT security posture, from which concrete security measures must then flow.

The article acts as a gateway provision, anchoring the simplified framework by directing financial entities to the detailed security measures set out in Articles 30 to 38 of this regulation.

Important points:

Develop, document, and implement an information security policy covering the confidentiality, integrity, availability, and authenticity of data and services.
Use that policy as the basis for establishing and implementing ICT security measures, including those carried out by ICT third-party service providers.
The ICT security measures required must encompass all measures specified in Articles 30 to 38 of this regulation.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska utarbeta, dokumentera och genomföra riktlinjer för informationssäkerhet i samband med den förenklade IKT-riskhanteringsramen. I riktlinjerna för informationssäkerhet ska det anges vilka principer och regler på hög nivå som ska skydda konfidentialitet, integritet, tillgänglighet och äkthet för uppgifter och för de tjänster som dessa finansiella entiteter tillhandahåller.
1. På grundval av sina riktlinjer för informationssäkerhet enligt punkt 1 ska de finansiella entiteter som avses i punkt 1 fastställa och genomföra IKT-säkerhetsåtgärder för att minska sin exponering för IKT-risker, inbegripet begränsningsåtgärder som genomförs av tredjepartsleverantörer av IKT-tjänster.
2. IKT-säkerhetsåtgärderna ska omfatta alla de åtgärder som avses i artiklarna 30–38.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.