Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 3 IKT-riskhantering

Summary What does Article 3 of the RTS on ICT risk management framework say?

This article sets out the detailed requirements for ICT risk management policies and procedures that financial entities must develop, document, and implement.

It builds directly on the broader ICT risk management framework established under DORA (Regulation (EU) 2022/2554), translating its high-level obligations into concrete procedural requirements.

The article covers the full lifecycle of ICT risk management: from establishing a risk tolerance level and conducting risk assessments, through implementing treatment measures, to handling residual risks that remain after those measures are applied.

A notable element is the structured approach to residual risk, which must be inventoried, justified, assigned to responsible owners, and reviewed at least annually.

The article also requires ongoing monitoring of the threat landscape and vulnerabilities, and ensures that any changes to the financial entity's business or digital resilience strategy feed back into the risk management process.

Important points:

  • Develop, document, and implement ICT risk management policies and procedures covering the entire risk lifecycle, from assessment through treatment to residual risk management.
  • Maintain an inventory of accepted residual ICT risks with written justifications, and review those accepted risks at least once a year to confirm the reasons for acceptance remain valid.
  • Continuously monitor changes to the ICT risk and cyber threat landscape, internal and external vulnerabilities, and ensure shifts in business or digital resilience strategy are reflected in the risk management framework.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

  1. Finansiella entiteter ska utarbeta, dokumentera och genomföra strategier och förfaranden för IKT-riskhantering som ska innehålla allt av följande:

    1. En indikation på godkännandet av risktoleransnivån för IKT-risk enligt artikel 6.8 b i förordning (EU) 2022/2554.

    2. Ett förfarande och en metod för att genomföra IKT-riskbedömningen, som identifierar

      1. sårbarheter och hot som berör eller kan beröra de affärsfunktioner som stöds och de IKT-system och IKT-tillgångar som stöder dessa funktioner,

      2. kvantitativa eller kvalitativa indikatorer för att mäta effekten av och sannolikheten för de sårbarheter och hot som avses i led i.

    3. Förfarandet för att identifiera, genomföra och dokumentera IKT-riskhanteringsåtgärder för de IKT-risker som identifierats och bedömts, inbegripet fastställandet av IKT-riskhanteringsåtgärder som är nödvändiga för att IKT-risken ska ligga inom den risktoleransnivå som avses i led a.

    4. När det gäller de kvarstående IKT-risker som fortfarande föreligger efter genomförandet av de IKT-riskhanteringsåtgärder som avses i led c:

      1. Bestämmelser om identifiering av dessa kvarstående IKT-risker.

      2. Fördelning av roller och ansvarsområden avseende

        1. accepterandet av de kvarstående IKT-risker som överskrider den finansiella entitetens risktoleransnivå enligt led a,

        2. den översynsprocess som avses i led iv i detta led d.

      3. Utarbetandet av en förteckning av de accepterade kvarstående IKT-riskerna, inklusive en motivering till varför de accepteras.

      4. Bestämmelser om översyn av de accepterade kvarstående IKT-riskerna minst en gång per år, inbegripet

        1. identifiering av eventuella förändringar av de kvarstående IKT-riskerna,

        2. bedömning av tillgängliga begränsningsåtgärder,

        3. bedömning av huruvida de skäl som motiverar accepterandet av kvarstående IKT-risker fortfarande är giltiga och tillämpliga vid tidpunkten för översynen.

    5. Bestämmelser om övervakning av

      1. eventuella förändringar i IKT-riskbilden och cyberhotbilden,

      2. interna och externa sårbarheter och hot,

      3. den finansiella entitetens IKT-risk, vilket möjliggör snabb upptäckt av förändringar som kan beröra dess IKT-riskprofil.

    6. Bestämmelser om en process för att säkerställa att förändringar av den finansiella entitetens affärsstrategi och strategi för digital operativ motståndskraft beaktas.

  2. Vid tillämpning av första stycket c ska det förfarande som avses i det ledet säkerställa

    1. övervakning av ändamålsenligheten hos de IKT-riskhanteringsåtgärder som genomförts,

    2. bedömning av huruvida den finansiella entitetens fastställda risktoleransnivåer har uppnåtts,

    3. bedömning av huruvida den finansiella entiteten har vidtagit åtgärder för att vid behov korrigera eller förbättra dessa åtgärder.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod