Source: OJ L, 2025/305, 31.3.2025

Current language: SV

Artikel 9 IKT-system och tillhörande säkerhetsarrangemang

Summary What does Article 9 of the RTS on CASP authorisation say?

This article sets out the ICT and cybersecurity disclosure requirements that applicants for crypto-asset service provider authorisation must satisfy, feeding directly into Article 62(2)(j) of MiCA (Regulation (EU) 2023/1114).

It requires applicants to submit technical documentation covering their ICT risk management framework, DLT infrastructure, security arrangements, third-party ICT service providers, and incident management procedures, all framed against their obligations under DORA (Regulation (EU) 2022/2554).

Notably, it also calls for a description of any cybersecurity audits carried out by an independent third-party auditor, covering a broad range of testing methodologies, and crucially requires that all of this technical information be presented in non-technical language as well.

Important points:

  • Provide full technical documentation of your ICT systems, DLT infrastructure, security arrangements, and third-party ICT service provider contractual arrangements, demonstrating compliance with DORA and the GDPR.
  • Submit a description of any third-party cybersecurity audits conducted, including penetration tests across black box, grey box, and white box approaches, and, where relevant, a source code review of any smart contracts used or developed.
  • Accompany all technical disclosures with a non-technical language description of the same information.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Vid tillämpning av artikel 62.2 j i förordning (EU) 2023/1114 ska sökande lämna följande uppgifter till den behöriga myndigheten:

  1. Teknisk dokumentation av IKT-systemen, i tillämpliga fall DLT-infrastrukturen samt säkerhetsarrangemangen, inklusive en beskrivning av de arrangemang och de IKT- och personalresurser som används för att uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554(9), enligt följande:

    1. En beskrivning av hur sökanden säkerställer en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som en del av dess övergripande riskhanteringssystem, inklusive en detaljerad beskrivning av IKT-system, IKT-protokoll och IKT-verktyg och av hur sökandens förfaranden, policyer och system värnar uppgifternas säkerhet, integritet, tillgänglighet, äkthet och konfidentialitet i enlighet med förordning (EU) 2022/2554 och förordning (EU) 2016/679.

    2. En identifiering av de IKT-tjänster som stöder kritiska eller viktiga funktioner och som utvecklats eller underhålls av sökanden samt de IKT-tjänster som stöder kritiska eller viktiga funktioner som tillhandahålls av tredjepartsleverantörer av tjänster, en beskrivning av sådana avtalsarrangemang (leverantörernas identitet och geografiska läge, beskrivning av de utkontrakterade verksamheterna eller IKT-tjänsterna och deras huvuddrag samt kopior av avtalsarrangemang) och hur dessa arrangemang är förenliga med artikel 73 i förordning (EU) 2023/1114 och kapitel V i förordning (EU) 2022/2554.

    3. En beskrivning av sökandens förfaranden, policyer, arrangemang och system för säkerhets- och incidenthantering.

  2. Om möjligt, en beskrivning av en cybersäkerhetsrevision som utförts av en tredjepartsrevisor inom cybersäkerhet som har tillräcklig erfarenhet i enlighet med kommissionens delegerade förordning om tekniska standarder vilken antagits i enlighet med artikel 26.11 fjärde stycket i förordning (EU) 2022/2554 och som helst omfattar följande revisioner eller tester:

    1. Organisatorisk cybersäkerhet, fysisk säkerhet och säkra arrangemang för systemutvecklingslivscykeln.

    2. Sårbarhetsbedömningar och sårbarhetsskanningar samt nätverkssäkerhetsbedömningar.

    3. Konfigurationsgranskningar av IKT-tillgångar som stöder kritiska och viktiga funktioner enligt definitionen i artikel 3.22 i förordning (EU) 2022/2554.

    4. Penetrationstester av IKT-tillgångar som stöder kritiska och viktiga funktioner enligt definitionen i artikel 3.17 i förordning (EU) 2022/2554, i enlighet med samtliga följande revisionstester:

      1. Fasen ”Svart låda”: Revisorn har ingen annan information än de IP-adresser och webbadresser som är associerade med det granskade målet. Denna fas föregås i allmänhet av upptäckten av information och identifieringen av målet genom förfrågan via DNS-tjänster, skanning av öppna portar, upptäckt av närvaron av filtreringsverktyg osv.

      2. Fasen ”grå låda”: Revisorerna har kunskap om en standardanvändare av informationssystemet (legitim autentisering, ”standardmässig” arbetsstation osv.). Identifierarna kan tillhöra olika användarprofiler för att testa olika åtkomstnivåer.

      3. Fasen ”vit låda”: Revisorerna har så mycket teknisk information som möjligt (arkitektur, källkod, telefonkontakter, identifierare osv.) innan analysen inleds och även tillgång till tekniska kontakter med anknytning till målet.

    5. Om sökanden använder och/eller utvecklar smarta kontrakt, en granskning av deras källkoder med avseende på cybersäkerhet.

  3. En beskrivning av eventuella genomförda revisioner av IKT-systemen, inbegripet DLT-infrastruktur och säkerhetsarrangemang som har använts.

  4. En beskrivning av den relevanta information som avses i leden a och b på ett icke-tekniskt språk.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod