Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 35 Data-, system- och nätverkssäkerhet
Summary What does Article 35 of the RTS on ICT risk management framework say?
This article applies specifically to the financial entities subject to the simplified ICT risk management framework under Article 16(1) of DORA.
It sets out a range of practical data and network security safeguards that these entities must develop and implement.
The measures span the full data lifecycle — from protection while data is in use, in transit, and at rest, through to secure deletion and disposal of storage devices when data is no longer needed.
The article also addresses the security of endpoint devices and teleworking arrangements, reflecting the realities of modern working environments.
Important points:
- Implement safeguards covering data protection across all states — in use, in transit, and at rest — and secure network traffic against unauthorised connections.
- Establish processes for the secure deletion of data and the secure disposal or decommissioning of data storage devices containing confidential information.
- Ensure that teleworking and the use of private endpoint devices do not adversely impact the ability to carry out critical activities in an adequate, timely, and secure manner.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska, som en del av sina system, protokoll och verktyg, utveckla och genomföra skyddsåtgärder som säkerställer nätverkens säkerhet mot intrång och missbruk av uppgifter och som bevarar uppgifters tillgänglighet, äkthet, integritet och konfidentialitet. I synnerhet ska finansiella entiteter, med beaktande av den klassificering som avses i artikel 30.1 i denna förordning, fastställa allt av följande:
Identifiering och genomförande av åtgärder för att skydda uppgifter i bruk, under överföring och i vila.
Identifiering och genomförande av säkerhetsåtgärder avseende användning av programvara, datalagringsmedier, system och slutpunktsenheter som överför och lagrar den finansiella entitetens uppgifter.
Identifiering och genomförande av åtgärder för att förhindra och upptäcka obehöriga anslutningar till den finansiella entitetens nätverk, och för att säkra nätverkstrafiken mellan den finansiella entitetens interna nätverk och internet och andra externa anslutningar.
Identifiering och genomförande av åtgärder som säkerställer tillgänglighet, äkthet, integritet och konfidentialitet för uppgifter under överföring i nätverk.
En process för att på ett säkert sätt radera uppgifter som finns i lokalerna, eller som lagras externt, och som den finansiella entiteten inte längre behöver samla in eller lagra.
En process för att på ett säkert sätt bortskaffa eller obrukbargöra datalagringsenheter som finns i lokalerna, eller datalagringsenheter som lagras externt, vilka innehåller konfidentiell information.
Identifiering och genomförande av åtgärder för att säkerställa att distansarbete och användning av privata slutpunktsenheter inte negativt påverkar den finansiella entitetens förmåga att utföra sin kritiska verksamhet på ett adekvat, snabbt och säkert sätt.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.