Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 31 IKT-riskhantering

Summary What does Article 31 of the RTS on ICT risk management framework say?

This article sits within the simplified ICT risk management framework applicable to the smaller financial entities referenced in Article 16(1) of DORA, and it sets out the core risk management obligations those entities must embed into that framework.

Rather than prescribing a fully elaborate governance structure, it focuses on the practical cycle of risk management: establishing tolerance levels, identifying and assessing risks, defining mitigation strategies for risks that fall outside those tolerances, and monitoring their effectiveness.

Notably, the article also requires these entities to reassess ICT and information security risks following major changes or major incidents, and to continuously monitor threats and vulnerabilities relevant to their critical or important functions.

Important points:

  • Include risk tolerance levels, risk identification and assessment, mitigation strategies, and ongoing monitoring within your simplified ICT risk management framework.
  • Carry out and document ICT risk assessments periodically, with the frequency aligned to your ICT risk profile, and reassess risks following major system changes or major ICT-related incidents.
  • Set out alert thresholds and criteria to trigger ICT-related incident response processes.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska i sin förenklade IKT-riskhanteringsram inkludera allt av följande:

      1. Ett fastställande av risktoleransnivåerna för IKT-risker, i enlighet med den finansiella entitetens riskbenägenhet.

      2. Identifiering och bedömning av de IKT-risker som den finansiella entiteten är exponerad för.

      3. Specificering av begränsningsstrategier för åtminstone de IKT-risker som inte ligger inom den finansiella entitetens risktoleransnivåer.

      4. Övervakning av effektiviteten hos de begränsningsstrategier som avses i led c.

      5. Identifiering och bedömning av eventuella IKT-risker och informationssäkerhetsrisker till följd av större förändringar i IKT-system eller IKT-tjänster, processer eller förfaranden, och från resultat av IKT-säkerhetstester och efter en allvarlig IKT-relaterad incident.

    1. De finansiella entiteter som avses i punkt 1 ska regelbundet genomföra och dokumentera IKT-riskbedömningen i proportion till de finansiella entiteternas IKT-riskprofil.

    1. De finansiella entiteter som avses i punkt 1 ska kontinuerligt övervaka hot och sårbarheter som är relevanta för deras kritiska eller viktiga funktioner, och informationstillgångar och IKT-tillgångar, och ska regelbundet se över de riskscenarier som berör dessa kritiska eller viktiga funktioner.

    1. De finansiella entiteter som avses i punkt 1 ska fastställa varningströskelvärden och kriterier för att utlösa och initiera processer för hantering av IKT-relaterade incidenter.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod