Source: OJ L, 2025/303, 20.2.2025

Current language: SV

Artikel 4 IKT-system och tillhörande säkerhetsarrangemang

Summary What does Article 4 of the RTS on notification of crypto-asset service provision say?

This article specifies the ICT and cybersecurity information that a notifying entity must submit to the competent authority as part of the notification process under Regulation (EU) 2023/1114.

It is directly tied to Article 60(7)(c) of that Regulation and sits alongside other articles in this act that each address a distinct category of information required at notification.

The article is notably technical in its scope, requiring the notifying entity to demonstrate how its ICT infrastructure, risk management framework, and security arrangements comply with DORA (Regulation (EU) 2022/2554).

Beyond the core technical documentation, the article also calls for details of any third-party cybersecurity audits that have been conducted, covering a range of testing methodologies, and crucially requires that all of this information also be presented in non-technical language.

Important points:

  • Provide full technical documentation of your ICT systems, DLT infrastructure, and security arrangements, demonstrating compliance with DORA and the data protection requirements of Regulation (EU) 2016/679.
  • Submit details of any third-party cybersecurity audit conducted, including penetration tests carried out using black box, grey box, and white box approaches, as well as a smart contract source code review where applicable — though this is required only if such an audit is available.
  • Accompany all technical documentation with a non-technical description, ensuring the competent authority can assess the information regardless of technical expertise.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Vid tillämpning av artikel 60.7 c i förordning (EU) 2023/1114 ska den anmälande enheten lämna följande uppgifter till den behöriga myndigheten:

  1. Teknisk dokumentation av IKT-systemen, i tillämpliga fall DLT-infrastrukturen samt säkerhetsarrangemangen, inklusive en beskrivning av de arrangemang och de IKT- och personalresurser som används för att uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554(8), inklusive följande:

    1. En beskrivning av hur den anmälande enheten säkerställer en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som en del av dess övergripande riskhanteringssystem, inklusive en detaljerad beskrivning av IKT-system, IKT-protokoll och IKT-verktyg och av hur den anmälande enhetens förfaranden, policyer och system värnar uppgifternas säkerhet, integritet, tillgänglighet, äkthet och konfidentialitet i enlighet med förordningarna (EU) 2022/2554 och (EU) 2016/679.

    2. En identifiering av de IKT-tjänster som stöder kritiska eller viktiga funktioner och som utvecklats eller underhålls av den anmälande enheten samt av dem som tillhandahålls av tredjepartsleverantörer av tjänster, och en beskrivning av sådana avtalsarrangemang och hur dessa arrangemang är förenliga med artikel 73 i förordning (EU) 2023/1114 och kapitel V i förordning (EU) 2022/2554.

    3. En beskrivning av den anmälande enhetens förfaranden, policyer, arrangemang och system för säkerhet och incidenthantering.

  2. I förekommande fall en beskrivning av en cybersäkerhetsrevision som utförts av en tredjepartsrevisor för cybersäkerhet med tillräcklig erfarenhet i enlighet med kommissionens delegerade förordning om tekniska standarder i enlighet med artikel 26.11 fjärde stycket i förordning (EU) 2022/2554 och som helst bör omfatta följande revisioner eller tester som utförts av externa oberoende parter:

    1. Organisatoriska arrangemang för cybersäkerhet, fysisk säkerhet och en säker livscykel i samband med programvaruutveckling.

    2. Sårbarhetsbedömningar och nätverkssäkerhetsbedömningar.

    3. Konfigurationsgranskningar av IKT-tillgångar som stöder kritiska och viktiga funktioner enligt definitionen i artikel 3.22 i förordning (EU) 2022/2554.

    4. Penetrationstester av IKT-tillgångar som stöder kritiska och viktiga funktioner enligt definitionen i artikel 3.17 i förordning (EU) 2022/2554, i enlighet med samtliga följande revisionstester:

      1. ”Svart låda”: Revisorn har ingen annan information än de IP-adresser och webbadresser som är associerade med det granskade målet. Denna fas föregås i allmänhet av upptäckten av information och identifieringen av målet genom förfrågan via DNS-tjänster, skanning av öppna portar, upptäckt av närvaron av filtreringsverktyg.

      2. Fasen ”grå låda”: Revisorerna har kunskap om en standardanvändare av informationssystemet (legitim autentisering, ”standardmässig” arbetsstation). Identifierarna kan tillhöra olika användarprofiler för att testa olika åtkomstnivåer.

      3. Fasen ”vit låda”: Revisorerna har så mycket teknisk information som möjligt (arkitektur, källkod, telefonkontakter, identifierare osv.) innan analysen inleds och även tillgång till tekniska kontakter med anknytning till målet.

    5. Om den anmälande enheten använder och/eller utvecklar smarta kontrakt, en granskning av deras källkoder med avseende på cybersäkerhet.

  3. En beskrivning av eventuella genomförda revisioner av IKT-systemen, inbegripet DLT-infrastruktur och säkerhetsarrangemang som har använts.

  4. En beskrivning av den relevanta information som avses i leden a och b på ett icke-tekniskt språk.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod