Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 38 IKT-projekthantering och hantering av IKT-förändringar
Summary What does Article 38 of the RTS on ICT risk management framework say?
This article sits within the simplified ICT risk management framework for the smaller financial entities referred to in Article 16(1) of DORA, and it sets out two closely related procedural obligations: ICT project management and ICT change management.
Rather than prescribing detailed content requirements, it focuses on the existence and implementation of these procedures, requiring that they span the full lifecycle of projects and changes respectively.
It is the simplified-framework counterpart to the more detailed project and change management provisions that apply to larger financial entities elsewhere in this regulation.
Important points:
- Develop, document, and implement an ICT project management procedure that covers all stages of ICT projects from initiation to closure, with clearly specified roles and responsibilities.
- Develop, document, and implement an ICT change management procedure ensuring all changes to ICT systems are recorded, tested, assessed, approved, implemented, and verified in a controlled manner.
- Both obligations apply to the financial entities referred to in Article 16(1) of Regulation (EU) 2022/2554, i.e., those subject to the simplified ICT risk management framework.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska utveckla, dokumentera och genomföra ett förfarande för IKT-projekthantering och ska specificera roller och ansvarsområden för dess genomförande. Detta förfarande ska omfatta alla stadier av IKT-projekten från deras initiering till deras avslutande.
De finansiella entiteter som avses i punkt 1 ska utveckla, dokumentera och genomföra ett förfarande för hantering av IKT-förändringar för att säkerställa att alla ändringar av IKT-system registreras, testas, bedöms, godkänns, genomförs och verifieras på ett kontrollerat sätt och med lämpliga skyddsåtgärder för att bevara den finansiella entitetens digitala operativa motståndskraft.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.