Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 4 Policy för hantering av IKT-tillgångar
Summary What does Article 4 of the RTS on ICT risk management framework say?
This article requires financial entities to develop, document, and implement a formal policy for managing ICT assets, sitting within the broader ICT security framework established under Article 9(2) of DORA.
It builds directly on the asset identification and classification work required by Article 8(1) of DORA, translating that classification into concrete record-keeping and lifecycle management obligations.
The core thrust is that financial entities must maintain detailed, structured records about every ICT asset they hold, covering everything from ownership and location to business continuity requirements and third-party support end dates.
Important points:
- Develop, document, and implement a policy for ICT asset management that covers the full lifecycle of all identified and classified ICT assets.
- Keep comprehensive records for each ICT asset, including its unique identifier, location, owner, supported business functions, continuity requirements, internet exposure, and interdependencies with other assets.
- Financial entities other than microenterprises must also maintain records sufficient to perform an ICT risk assessment on all legacy ICT systems still in use.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Som en del av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 ska finansiella entiteter utarbeta, dokumentera och genomföra en policy för hantering av IKT-tillgångar.
Den policy för hantering av IKT-tillgångar som avses i punkt 1 ska
föreskriva övervakning och hantering av livscykeln för IKT-tillgångar som identifierats och klassificerats i enlighet med artikel 8.1 i förordning (EU) 2022/2554,
föreskriva att den finansiella entiteten ska föra register över
den unika identifieraren för varje IKT-tillgång,
information om platsen, antingen fysisk eller logisk, för samtliga IKT-tillgångar,
klassificeringen av samtliga IKT-tillgångar, enligt artikel 8.1 i förordning (EU) 2022/2254,
identiteten hos ägare av IKT-tillgångar,
de affärsfunktioner eller affärstjänster som stöds av IKT-tillgången,
kraven på IKT-kontinuitet, inklusive mål för återställningstid och mål för återställningspunkt,
huruvida IKT-tillgången kan vara eller är exponerad mot externa nätverk, inbegripet internet,
kopplingar och ömsesidiga beroenden mellan IKT-tillgångar och de affärsfunktioner som använder respektive IKT-tillgång,
i tillämpliga fall och för samtliga IKT-tillgångar, slutdatum för tredjepartsleverantörens ordinarie, utökade och anpassade supporttjänster, efter vilket dessa IKT-tillgångar inte längre stöds av deras leverantör eller av en tredjepartsleverantör av IKT-tjänster,
när det gäller andra finansiella entiteter än mikroföretag, föreskriva att dessa finansiella entiteter ska föra register över den information som krävs för att utföra en specifik IKT-riskbedömning av alla äldre IKT-system enligt artikel 8.7 i förordning (EU) 2022/2554.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
central motpart
(En. central counterparty)
Definition
IKT-tillgång
(En. ICT asset)
Definition
transaktionsregister
(En. trade repository)
Definition
mikroföretag
(En. microenterprise)
Definition
IKT-tjänster
(En. ICT services)
Definition
äldre IKT-system
(En. legacy ICT system)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
värdepapperscentral
(En. central securities depository)
Definition
nätverks- och informationssystem
(En. network and information system)
Definition
handelsplats
(En. trading venue)