Art. 39 Komponenter i IKT-kontinuitetsplanen | RTS on ICT risk management framework | DORA

This article applies specifically to the financial entities subject to the simplified ICT risk management framework under Article 16(1) of DORA, and sets out detailed requirements for their ICT business continuity plans.

It requires these plans to be grounded in an analysis of exposures and potential impacts of severe disruptions, including cyber-attack scenarios.

The article then lays out a comprehensive set of conditions these plans must meet, covering everything from management body approval and resource allocation, to backup procedures, communication arrangements, and ongoing updates based on lessons learned.

Important points:

Develop ICT business continuity plans that are based on an analysis of exposures to severe disruptions, including cyber-attack scenarios, for ICT assets supporting critical or important functions.
The plans must be approved by the management body, documented, readily accessible in an emergency, and kept updated to reflect incidents, tests, and organisational changes.
Ensure the plans include recovery timeframes, backup procedures, communication and escalation arrangements, and measures to mitigate failures of critical third-party providers.

1. De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska utarbeta sina IKT-kontinuitetsplaner med beaktande av resultaten av analysen av deras exponering för och potentiella effekter av allvarliga störningar i verksamheten och scenarier som deras IKT-tillgångar som stöder kritiska eller viktiga funktioner kan utsättas för, inbegripet ett scenario för cyberangrepp.
1. De IKT-kontinuitetsplaner som avses i punkt 1 ska
  1. godkännas av den finansiella entitetens ledningsorgan,
  2. vara dokumenterade och lättillgängliga i händelse av en nödsituation eller kris,
  3. avsätta tillräckliga resurser för deras genomförande,
  4. fastställa planerade återställningsnivåer och tidsramar för återställning och återupptagande av funktioner och viktiga interna och externa beroenden, inklusive tredjepartsleverantörer av IKT-tjänster,
  5. identifiera de förhållanden som kan föranleda aktivering av IKT-kontinuitetsplanerna och vilka åtgärder som ska vidtas för att säkerställa tillgänglighet och kontinuitet för och återställning av de finansiella entiteternas IKT-tillgångar som stöder kritiska eller viktiga funktioner,
  6. identifiera åtgärder för återskapande och återställning av kritiska eller viktiga affärsfunktioner, stödprocesser och informationstillgångar och deras ömsesidiga beroenden, för att undvika negativa effekter på de finansiella entiteternas funktion,
  7. identifiera förfaranden och åtgärder för säkerhetskopiering som anger omfattningen av de uppgifter som ska säkerhetskopieras och den lägsta frekvensen för säkerhetskopieringen, baserat på hur kritisk den funktion som använder dessa uppgifter är,
  8. överväga alternativ där återställning kanske inte är genomförbar på kort sikt på grund av kostnader, risker, logistik eller oförutsedda omständigheter,
  9. specificera interna och externa kommunikationsarrangemang, inklusive eskaleringsplaner,
  10. uppdateras i linje med lärdomar från incidenter, tester, nya risker och hot som identifierats, ändrade återställningsmål, större förändringar av den finansiella entitetens organisation och av de IKT-tillgångar som stöder kritiska funktioner eller affärsfunktioner.
2. Vid tillämpning av led f ska de åtgärder som avses i det ledet föreskriva begränsning av misslyckanden hos kritiska tredjepartsleverantörer.