Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 6 Kryptering och kryptografisk säkerhet
Summary What does Article 6 of the RTS on ICT risk management framework say?
This article requires financial entities to develop, document, and implement a dedicated policy on encryption and cryptographic controls, forming part of the broader ICT security framework referenced in Article 9(2) of DORA.
It sets out the core content that this policy must cover, including encryption of data at rest, in transit, and in use, as well as the management of cryptographic keys — the latter of which directly feeds into Article 7.
Notably, the article builds in a degree of flexibility: where encryption of data in use is not possible, or where leading practices and standards cannot be met, financial entities must adopt alternative mitigation and monitoring measures and record the reasons for doing so.
Important points:
- Develop, document, and implement an encryption and cryptographic controls policy, grounded in data classification and ICT risk assessment results.
- The policy must address cryptographic key management in line with Article 7, and must include provisions for updating cryptographic technology as cryptanalysis evolves.
- Where full compliance with leading practices or standards is not possible, adopt and record mitigation and monitoring measures, along with a reasoned explanation.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Som en del av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 ska finansiella entiteter utarbeta, dokumentera och genomföra en policy för kryptering och kryptografisk säkerhet.
Finansiella entiteter ska utforma den policy för kryptering och kryptografisk säkerhet som avses i punkt 1 på grundval av resultaten av en godkänd dataklassificering och IKT-riskbedömning. Denna policy ska innehålla regler för
kryptering av uppgifter i vila och under överföring,
kryptering av uppgifter i bruk, vid behov,
kryptering av interna nätverksanslutningar och trafik med externa parter,
den hantering av kryptografiska nycklar som avses i artikel 7, med fastställande av regler för korrekt användning, skydd och livscykel i fråga om kryptografiska nycklar.
Vid tillämpning av led b ska finansiella entiteter, om kryptering av uppgifter i bruk inte är möjlig, behandla uppgifter i bruk i en avskild och skyddad miljö, eller vidta likvärdiga åtgärder för att säkerställa uppgifternas konfidentialitet, integritet, äkthet och tillgänglighet.
Finansiella entiteter ska i den policy för kryptering och kryptografisk säkerhet som avses i punkt 1 inkludera kriterier för val av krypteringsmetoder och användningspraxis, med beaktande av ledande praxis och standarder enligt definitionen i artikel 2.1 i förordning (EU) nr 1025/2012, och den klassificering av relevanta IKT-tillgångar som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554. Finansiella entiteter som inte kan följa ledande praxis eller standarder, eller använda de mest tillförlitliga metoderna, ska anta begränsnings- och övervakningsåtgärder som säkerställer motståndskraft mot cyberhot.
Finansiella entiteter ska i den policy för kryptering och kryptografisk säkerhet som avses i punkt 1 inkludera bestämmelser om uppdatering eller ändring, vid behov, av krypteringstekniken på grundval av utvecklingen inom kryptoanalys. Dessa uppdateringar eller ändringar ska säkerställa att krypteringstekniken förblir motståndskraftig mot cyberhot, i enlighet med artikel 10.2 a. Finansiella entiteter som inte kan uppdatera eller ändra krypteringstekniken ska anta begränsnings- och övervakningsåtgärder som säkerställer motståndskraft mot cyberhot.
Finansiella entiteter ska i den policy för kryptering och kryptografisk säkerhet som avses i punkt 1 inkludera ett krav på att dokumentera antagandet av begränsnings- och övervakningsåtgärder som antagits i enlighet med punkterna 3 och 4 och att ge en motiverad förklaring till detta.
Relevant recitals
Skäl 9 Encryption and cryptographic controls
Kryptografiska säkerhetsåtgärder kan säkerställa uppgifters tillgänglighet, äkthet, integritet och konfidentialitet. Finansiella entiteter som avses i avdelning II i denna förordning bör därför identifiera och genomföra sådana åtgärder baserat på en riskbaserad metod. I detta syfte bör de finansiella entiteterna kryptera de berörda uppgifterna i vila, under överföring eller, vid behov, i bruk, baserat på resultaten av en tvådelad process, nämligen dataklassificering och en heltäckande IKT-riskbedömning. Med tanke på komplexiteten i att kryptera uppgifter i bruk bör de finansiella entiteter som avses i avdelning II i denna förordning endast kryptera uppgifter i bruk om det är lämpligt mot bakgrund av resultaten av IKT-riskbedömningen. De finansiella entiteter som avses i avdelning II i denna förordning bör dock, om kryptering av uppgifter i bruk inte är genomförbar eller är alltför komplex, kunna skydda de berörda uppgifternas konfidentialitet, integritet och tillgänglighet genom andra IKT-säkerhetsåtgärder. Med tanke på den snabba tekniska utvecklingen inom området för krypteringsmetoder bör de finansiella entiteter som avses i avdelning II i denna förordning hålla sig à jour med den relevanta utvecklingen inom kryptoanalys och beakta ledande praxis och standarder. De finansiella entiteter som avses i avdelning II i denna förordning bör därför följa en flexibel strategi, baserad på riskreducering och riskövervakning, för att hantera den dynamiska utvecklingen av kryptografiska hot, inbegripet hot från framsteg inom kvantteknik.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-tillgång
(En. ICT asset)
Definition
cyberhot
(En. cyber threat)
Definition
nätverks- och informationssystem
(En. network and information system)