Artikel 16 Förenklad IKT-riskhanteringsram

1. Artiklarna 5–15 i denna förordning ska inte tillämpas på små och icke-sammanlänkade värdepappersföretagett värdepappersföretag enligt definitionen i artikel 4.1.1 i direktiv 2014/65/EU., betalningsinstitutett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366. undantagna enligt direktiv (EU) 2015/2366, institut undantagna enligt direktiv 2013/36/EU och för vilka medlemsstaterna har beslutat att inte tillämpa den möjlighet som anges i artikel 2.4 i denna förordning; institut för elektroniska pengarett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG. undantagna enligt direktiv 2009/110/EG och små tjänstepensionsinstitutett tjänstepensionsinstitut enligt definitionen i artikel 6.1 i direktiv (EU) 2016/2341..
2. Utan att det påverkar tillämpningen av första stycket ska de enheter som förtecknas i första stycket
  1. inrätta och upprätthålla en sund och dokumenterad IKT-riskhanteringsram som specificerar de mekanismer och åtgärder som syftar till att ge en snabb, effektiv och heltäckande hantering av IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön., inbegripet vad gäller skyddet av relevanta fysiska komponenter och infrastrukturer,
  2. kontinuerligt övervaka alla IKT-systems säkerhet och funktion,
  3. minimera effekterna av IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. genom användningen av sunda, motståndskraftiga och uppdaterade IKT-system, IKT-protokoll och IKT-verktyg som lämpar sig för att stödja utförandet av verksamheten och tillhandahållandet av tjänster och på ett tillräckligt sätt skydda konfidentialitet, tillgänglighet, integritet eller äkthet hos datan i nätverks- och informationssystemen,
  4. göra det möjligt att snabbt identifiera och upptäcka IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. och avvikelser i nätverks- och informationssystemen och att snabbt hantera IKT-relaterade incidenter,
  5. identifiera de viktigaste beroendena av tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.,
  6. säkerställa kontinuiteten för kritiska eller viktiga funktioner genom kontinuitetsplaner och åtgärds- och återställningsåtgärder, vilket bland annat innefattar säkerhetskopiering och återskapande,
  7. regelbundet testa de planer och åtgärder som avses i led f, samt effektiviteten i de kontroller som genomförts i enlighet med leden a och c,
  8. i enlighet med vad som är lämpligt genomföra relevanta operativa slutsatser som härrör från de test som avses i led g och från efteranalyser av incidenter i IKT-riskbedömningsprocessen, och utifrån behoven och IKT-riskprofilen utarbeta program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. för personal och ledning.
1. Den IKT-riskhanteringsram som avses i punkt 1 andra stycket a, ska dokumenteras och ses över regelbundet och vid uppkomsten av allvarliga IKT-relaterade incidenter, i enlighet med tillsynsinstruktionerna. Ramen ska förbättras fortlöpande baserat på erfarenheterna från genomförande och övervakning. En rapport om översynen av IKT-riskhanteringsramen ska överlämnas till den behöriga myndigheten på dess begäran.
1. De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommitténden kommitté som avses i artikel 54 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010. och i samråd med Enisa, utarbeta gemensamma förslag till tekniska standarder för tillsyn i syfte att
  1. närmare specificera vilka komponenter som ska ingå i den IKT-riskhanteringsram som avses i punkt 1 andra stycket a,
  2. närmare specificera komponenterna i förhållande till system, protokoll och verktyg för att minimera effekterna av IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. som avses i punkt 1 andra stycket c, i syfte att säkerställa säkerheten i nätverken, möjliggöra lämpliga skyddsåtgärder mot intrång och missbruk av data och bevara datans tillgänglighet, äkthet, integritet och konfidentialitet,
  3. närmare specificera komponenterna i de IKT-kontinuitetsplaner som avses i punkt 1 andra stycket f,
  4. närmare specificera reglerna för testningen av kontinuitetsplanerna och säkerställa att de kontroller som avses i punkt 1 andra stycket g är effektiva, och säkerställa att det vid sådan testning tas tillräckligt stor hänsyn till scenarier där kvaliteten på tillhandahållandet av en kritisk eller viktig funktionen funktion vars avbrott väsentligt skulle försämra den finansiella entitetens finansiella resultat eller sundheten eller kontinuiteten i dess tjänster och verksamhet, eller om funktionens upphörande, brister eller misslyckande väsentligt skulle försämra en finansiell entitets fortsatta efterlevnad av villkoren och skyldigheterna i auktorisationen eller av dess övriga skyldigheter enligt tillämplig rätt avseende finansiella tjänster. försämras till en oacceptabel nivå eller tillhandahållandet avbryts,
  5. närmare specificera innehållet i och formatet för den rapport om översynen av IKT-riskhanteringsramen som avses i punkt 2.
2. När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser.
3. De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.
4. Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Relevant recitals

Skäl 42 Simplified ICT risk management for small financial entities

Enligt sektorsspecifik unionsrätt omfattas vissa finansiella entiteter av förenklade krav eller undantag av skäl som rör deras storlek eller de tjänster de tillhandahåller. Den kategorin av finansiella entiteter omfattar små och icke sammanlänkade värdepappersföretagett värdepappersföretag enligt definitionen i artikel 4.1.1 i direktiv 2014/65/EU., små tjänstepensionsinstitutett tjänstepensionsinstitut enligt definitionen i artikel 6.1 i direktiv (EU) 2016/2341. som får uteslutas från tillämpningsområdet för direktiv (EU) 2016/2341 enligt de villkor som fastställs i artikel 5 i det direktivet av den berörda medlemsstaten och som har pensionsplaner som tillsammans inte omfattar fler än 100 personer totalt, liksom institut som är undantagna enligt direktiv 2013/36/EU. Det är därför lämpligt att, i enlighet med proportionalitetsprincipen och för att bevara andan av sektorsspecifik unionsrätt, låta de finansiella entiteterna omfattas av en förenklad IKT-riskhanteringsram enligt denna förordning. Den proportionella karaktären i den förenklade IKT-riskhanteringsram som omfattar dessa finansiella entiteter bör inte ändras av de lagstadgade tekniska standarder som ska utarbetas av de europeiska tillsynsmyndigheterna. I enlighet med proportionalitetsprincipen är det dessutom lämpligt att även låta de betalningsinstitutett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366. som avses i artikel 32.1 i direktiv (EU) 2015/2366 och de institut för elektroniska pengarett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG. som avses i artikel 9 i direktiv 2009/110/EG som är undantagna i enlighet med nationellt rätt som införlivar dessa unionsrättsakter omfattas av en förenklad IKT-riskhanteringsram enligt denna förordning, medan betalningsinstitutett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366. och institut för elektroniska pengarett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG. som inte har undantagits i enlighet med respektive nationell rätt som införlivar sektorsspecifik unionsrätt bör följa den allmänna ram som fastställs i denna förordning.

Skäl 43 Exemptions for microenterprises and financial entities subject to a simplified risk management framework

På samma sätt bör finansiella entiteter som räknas som mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. eller som omfattas av den förenklade IKT-riskhanteringsramen enligt denna förordning inte vara skyldiga att inrätta en funktion för att övervaka de arrangemang som de ingått med IKT-tredjepartsleverantörer för användning av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.; eller att utse en medlem av den högre ledningen till ansvarig för att övervaka den åtföljande riskexponeringen och relevant dokumentation; att överföra ansvaret för att hantera och övervaka IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. till en kontrollfunktion och säkerställa en lämplig nivå av oberoende för den kontrollfunktionen för att undvika intressekonflikter; att minst en gång om året dokumentera och se över IKT-riskhanteringsramen; att regelbundet låta IKT-riskhanteringsramen undergå en internrevision; att göra djupgående bedömningar efter större förändringar i deras infrastruktur och processer för nätverks- och informationssystemett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555.; att regelbundet genomföra riskanalyser av befintliga IKT-system; att låta genomförandet av åtgärds- och återställningsplaner avseende IKT undergå oberoende interna granskningar; att inrätta en krishanteringsfunktion, att utöka testningen av driftskontinuitet och åtgärds- och återställningsplaner för att fånga upp överflyttningsscenarier mellan primär IKT-infrastruktur och reservanläggningar, att på begäran av de behöriga myndigheterna lämna en uppskattning av de totala årliga kostnader och förluster som orsakas av allvarliga IKT-relaterade incidenter, att upprätthålla IKT-reservkapacitet; att till de nationella behöriga myndigheterna meddela vilka förändringar som genomfördes efter efterhandsöversyner av IKT-relaterade incidenter; att kontinuerligt övervaka relevant teknisk utveckling, att inrätta ett heltäckande program för testning av digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. som en integrerad del av den IKT-riskhanteringsram som föreskrivs i den här förordningen, eller att anta och regelbundet se över en strategi för IKT-tredjepartsrisken IKT-risk som kan uppstå för en finansiell entitet i samband med dess användning av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster eller av underleverantörer till sådana leverantörer, inbegripet genom utkontrakteringsarrangemang.. Mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. ska dessutom endast bedöma behovet av att upprätthålla sådan IKT-reservkapacitet med utgångspunkt i vilken riskprofil de har. Mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. bör omfattas av ett mer flexibelt system vad gäller program för testning av digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott.. När de överväger vilken typ och frekvens av testning som ska utföras bör de vederbörligen väga målet att upprätthålla en hög digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott., de tillgängliga resurserna och sin allmänna riskprofil. Mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. och finansiella entiteter som omfattas av den förenklade IKT-riskhanteringsramen enligt denna förordning bör undantas från kravet på avancerad testning av IKT-verktyg, IKT-system och IKT-processer baserad på hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten., eftersom endast finansiella entiteter som uppfyller de krav som fastställs i denna förordning bör vara skyldiga att utföra sådan testning. Mot bakgrund av sin begränsade kapacitet bör mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. kunna komma överens med tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. att delegera den finansiella entiteten rätt till tillgång, inspektion och revision till en oberoende tredje part som utsetts av tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., under förutsättning att den finansiella entiteten, när som helst, kan begära all relevant information och försäkran om tredjepartsleverantörens prestanda från respektive oberoende tredje part.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.