Art. 34 Säkerhet för IKT-verksamhet | RTS on ICT risk management framework | DORA

This article sits within the simplified ICT risk management framework, applying to the subset of financial entities covered by Article 16(1) of DORA.

It lays out a broad set of operational requirements for how those entities must manage and oversee their ICT assets on an ongoing basis.

The article covers the full operational spectrum: from lifecycle and capacity management, to vulnerability scanning, legacy asset risk, event logging, anomaly detection, and cyber threat monitoring.

It is essentially the operational backbone of the simplified framework, translating the risk identification work required by Article 31 into concrete day-to-day technical controls.

Important points:

Perform automated vulnerability scanning of ICT assets, scaled to their classification and risk profile, and deploy patches to address any vulnerabilities identified.
Log events across logical and physical access control, ICT operations, network traffic, and change management, ensuring the level of detail in those logs is aligned to the purpose and usage of the asset producing them.
Implement measures to detect anomalous activities, monitor cyber threats, and identify information leakages, malicious code, and publicly known vulnerabilities in software and hardware.

De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska, som en del av sina system, protokoll och verktyg, och för alla IKT-tillgångar
1. övervaka och hantera livscykeln för alla IKT-tillgångar,
2. övervaka huruvida IKT-tillgångarna stöds av finansiella entiteters tredjepartsleverantörer av IKT-tjänster, i tillämpliga fall,
3. identifiera kapacitetskrav för sina IKT-tillgångar och åtgärder för att upprätthålla och förbättra tillgängligheten och effektiviteten hos IKT-system och förhindra brist på IKT-kapacitet innan den uppstår,
4. utföra automatiserade sårbarhetsbedömningar och bedömningar av IKT-tillgångar i proportion till deras klassificering enligt artikel 30.1 och till IKT-tillgångens allmänna riskprofil, samt införa programfixar för att åtgärda identifierade sårbarheter,
5. hantera riskerna med föråldrade, ej stödda eller äldre IKT-tillgångar,
6. logga händelser relaterade till logisk och fysisk åtkomstkontroll, IKT-verksamhet, inklusive system- och nätverkstrafik, och hantering av IKT-förändringar,
7. identifiera och genomföra åtgärder för att övervaka och analysera information om onormal verksamhet och onormalt beteende för kritisk eller viktig IKT-verksamhet,
8. genomföra åtgärder för att övervaka relevant och uppdaterad information om cyberhot,
9. genomföra åtgärder för att identifiera möjliga informationsläckor, skadlig kod och andra säkerhetshot samt allmänt kända sårbarheter i programvara och hårdvara, och kontrollera om det finns motsvarande nya säkerhetsuppdateringar.
Vid tillämpning av led f ska finansiella entiteter anpassa loggarnas detaljnivå till sitt syfte och användningen av den IKT-tillgång som producerar dessa loggar.