Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 8 Strategier och förfaranden för IKT-verksamhet
Summary What does Article 8 of the RTS on ICT risk management framework say?
This article sits within the broader ICT security framework established under Article 9(2) of DORA and focuses specifically on the operational management of ICT systems.
It requires financial entities to develop, document, and implement policies and procedures that govern how they operate, monitor, control, and restore their ICT assets.
The article covers three core operational areas: asset description and lifecycle management, system controls and monitoring, and error handling.
Notably, it addresses the sensitive topic of testing in production environments, imposing strict conditions on when and how this is permitted, linking directly to requirements set out in Article 16(6) of this regulation.
Important points:
- Develop, document, and implement ICT operations policies covering asset management, system controls and monitoring, and error handling procedures.
- Separate production environments from development and testing environments across all components, including accounts, data, and connections.
- Testing in production environments is only permitted in clearly identified and reasoned instances, for limited periods, and must be approved by the relevant function.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Som en del av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 ska finansiella entiteter utarbeta, dokumentera och genomföra strategier och förfaranden för hantering av IKT-verksamheten. Dessa strategier och förfaranden ska specificera hur finansiella entiteter driver, övervakar, kontrollerar och återställer sina IKT-tillgångar, inbegripet dokumentation av IKT-verksamhet.
De strategier och förfaranden för IKT-verksamhet som avses i punkt 1 ska innehålla allt av följande:
En beskrivning av IKT-tillgångarna, inklusive
krav avseende säker installation, säkert underhåll och säker konfiguration och avinstallation av ett IKT-system,
krav avseende hantering av informationstillgångar som används av IKT-tillgångar, däribland deras bearbetning och hantering och både automatiserad och manuell sådan,
krav avseende identifiering och kontroll av äldre IKT-system.
Kontroll och övervakning av IKT-system, inklusive
krav på säkerhetskopiering och återställning av IKT-system,
krav på schemaläggning, med beaktande av ömsesidiga beroenden mellan IKT-systemen,
protokoll för revisionsloggning och systemlogginformation,
krav för att säkerställa att utförandet av internrevision och annan testning minimerar störningar i affärsverksamheten,
krav på separering av IKT-produktionsmiljöer från utvecklingsmiljöer, testmiljöer och andra miljöer som inte är produktionsmiljöer,
krav på att genomföra utveckling och testning i miljöer som är åtskilda från produktionsmiljön,
krav på att genomföra utveckling och testning i produktionsmiljöer.
Felhantering avseende IKT-system, inklusive
förfaranden och protokoll för felhantering,
kontakter för support och eskalering, inklusive externa supportkontakter i händelse av oväntade operativa eller tekniska problem,
förfaranden för omstart, återladdning och återställning av IKT-system för användning i händelse av avbrott i IKT-system.
Vid tillämpning av led b v ska separeringen beakta alla komponenter i miljön, inbegripet konton, uppgifter eller anslutningar, enligt artikel 13.1 a.
Vid tillämpning av led b vii ska de strategier och förfaranden som avses i punkt 1 föreskriva att de fall då testning utförs i en produktionsmiljö är tydligt identifierade, motiverade, gäller begränsade tidsperioder och är godkända av den relevanta funktionen i enlighet med artikel 16.6. Finansiella entiteter ska säkerställa tillgänglighet, konfidentialitet, integritet och äkthet för IKT-system och produktionsdata under utveckling och testning i produktionsmiljön.
Relevant recitals
Skäl 10 Production and development environment separation
En säkerhetsstrategi för IKT-verksamhet och IKT-relaterade strategier, förfaranden, protokoll och verktyg är nödvändiga för att säkerställa uppgifternas konfidentialitet, integritet och tillgänglighet. En central aspekt är den strikta separeringen av IKT-produktionsmiljöer från de miljöer där IKT-system utvecklas och testas eller andra miljöer som inte är produktionsmiljöer. Denna separering bör fungera som en viktig IKT-säkerhetsåtgärd mot oavsiktlig och obehörig åtkomst till, ändringar av och radering av uppgifter i produktionsmiljön, vilket skulle kunna leda till allvarliga avbrott i affärsverksamheten för de finansiella entiteter som avses i avdelning II i denna förordning. Med tanke på nuvarande praxis för utveckling av IKT-system bör finansiella entiteter dock i undantagsfall tillåtas att testa i produktionsmiljöer, förutsatt att de motiverar sådan testning och erhåller det godkännande som krävs.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-tillgång
(En. ICT asset)
Definition
IKT-tjänster
(En. ICT services)
Definition
äldre IKT-system
(En. legacy ICT system)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
informationstillgång
(En. information asset)
Definition
nätverks- och informationssystem
(En. network and information system)