Art. 36 IKT-säkerhetstestning | RTS on ICT risk management framework | DORA

This article sits within the simplified ICT risk management framework applicable to smaller financial entities under Article 16(1) of DORA, and directly validates the ICT security measures established across several other articles in that framework.

It requires financial entities to establish and implement an ICT security testing plan, grounded in the threats and vulnerabilities already identified through the simplified risk management process.

The article follows a logical cycle: build security measures, test them, evaluate the results, and update accordingly.

Important points:

Establish and implement an ICT security testing plan that reflects the threats and vulnerabilities identified under the simplified ICT risk management framework.
Review, assess, and test ICT security measures taking into consideration the overall risk profile of your ICT assets.
Monitor and evaluate test results and update security measures without undue delay for ICT systems supporting critical or important functions.

1. De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska upprätta och genomföra en plan för IKT-säkerhetstestning i syfte att validera ändamålsenligheten hos sina IKT-säkerhetsåtgärder som utvecklats i enlighet med artiklarna 33, 34 och 35 samt artiklarna 37 och 38 i den här förordningen. Finansiella entiteter ska säkerställa att den planen beaktar hot och sårbarheter som identifierats som en del av den förenklade IKT-riskhanteringsram som avses i artikel 31 i denna förordning.
1. De finansiella entiteter som avses i punkt 1 ska se över, bedöma och testa IKT-säkerhetsåtgärder, med beaktande av den allmänna riskprofilen för den finansiella entitetens IKT-tillgångar.
1. De finansiella entiteter som avses i punkt 1 ska övervaka och utvärdera resultaten av säkerhetstesterna och uppdatera sina säkerhetsåtgärder i enlighet därmed, och utan onödigt dröjsmål när det gäller IKT-system som stöder kritiska eller viktiga funktioner.