Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: SV

Artikel 6 IKT-riskhanteringsram

    1. Finansiella entiteter ska ha en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som en del av sitt övergripande riskhanteringssystem och den ska göra det möjligt för dem att snabbt, effektivt och heltäckande hantera IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. och säkerställa en hög nivå av digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott..

    1. IKT-riskhanteringsramen ska omfatta åtminstone de strategier, riktlinjer, förfaranden, IKT-protokoll och IKT-verktyg som är nödvändiga för att på ett vederbörligt och adekvat sätt skydda alla informations- och IKT-tillgångar, inbegripet datorprogramvara, datormaskinvara och servrar, och skydda alla relevanta fysiska komponenter och infrastrukturer, såsom lokaler, datacentraler och känsliga angivna områden, för att säkerställa att alla informations- och IKT-tillgångar är tillräckligt skyddade mot risker, inbegripet skada och obehörig åtkomst eller användning.

    1. I enlighet med sin IKT-riskhanteringsram ska finansiella entiteter minimera effekterna av IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. genom att införa lämpliga strategier, riktlinjer, förfaranden, IKT-protokoll och verktyg. De ska tillhandahålla fullständig och uppdaterad information om IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. och om sin IKT-riskhanteringsram till de behöriga myndigheterna när dessa begär det.

    1. Andra finansiella entiteter än mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. ska överföra ansvaret för att hantera och övervaka IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. till en kontrollfunktion och säkerställa en lämplig nivå av oberoende för den kontrollfunktionen för att undvika intressekonflikter. Finansiella entiteter ska säkerställa lämplig åtskillnad mellan och lämpligt oberoende för riskhanteringsfunktioner, kontrollfunktioner och interna revisionsfunktioner avseende IKT, enligt modellen med tre försvarslinjer eller en intern riskhanterings- och kontrollmodell.

    1. IKT-riskhanteringsramen ska dokumenteras och ses över minst en gång per år, eller regelbundet när det gäller mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR., liksom vid uppkomsten av allvarliga IKT-relaterade incidenter, och i enlighet med tillsynsinstruktioner eller slutsatser från relevanta testnings- eller revisionsprocesser för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott.. Ramen ska förbättras fortlöpande baserat på erfarenheterna från genomförande och övervakning. En rapport om översynen av IKT-riskhanteringsramen ska överlämnas till den behöriga myndigheten på dess begäran.

    1. IKT-riskhanteringsramen hos andra finansiella entiteter än mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. ska vara föremål för en internrevision av revisorer på regelbunden basis och i enlighet med finansiella entiteters revisionsplan. Dessa revisorer ska ha tillräckliga kunskaper, färdigheter och expertis om IKT-risker, samt ha en lämplig nivå av oberoende. IKT-revisionernas frekvens och inriktning ska stå i proportion till den finansiella entitetens IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön..

    1. Finansiella entiteter ska baserat på slutsatserna från den interna revisionsrapporten inrätta en formell uppföljningsprocess, inbegripet regler för snabb kontroll och snabbt åtgärdande av kritiska resultat från IKT-revisionen.

    1. IKT-riskhanteringsramen ska omfatta en strategi för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. där det anges hur ramen ska genomföras. För detta ändamål ska strategin för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. inbegripa metoder för att hantera IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. och uppnå specifika IKT-mål på följande sätt:

      1. Förklara hur IKT-riskhanteringsramen stöder den finansiella entitetens affärsstrategi och mål.

      2. Fastställa risktoleransnivån för IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. i enlighet med den finansiella entitetens riskbenägenhet och analysera toleransen mot effekterna av IKT-avbrott.

      3. Fastställa tydliga informationssäkerhetsmål, inbegripet nyckelprestationsindikatorer och viktiga riskmått.

      4. Förklara IKT-referensarkitekturen och eventuella förändringar som krävs för att uppnå specifika verksamhetsmål.

      5. Beskriva de olika mekanismer som har införts för att upptäcka IKT-relaterade incidenter, förebygga deras effekter och ge skydd däremot.

      6. Lägga fram bevis för den befintliga situationen vad gäller digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. baserat på antalet rapporterade allvarliga IKT-relaterade incidenter och de förebyggande åtgärdernas effektivitet.

      7. Genomföra tester av den digitala operativa motståndskraften, i enlighet med kapitel IV i denna förordning.

      8. Beskriva en kommunikationsstrategi vid IKT-relaterade incidenter; vars offentliggörande föreskrivs i artikel 14.

    1. Finansiella entiteter får, när det gäller den strategi för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. som avses i punkt 8, utforma en holistisk strategi med flera olika leverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. på koncern- eller entitetsnivå som visar de viktigaste beroendena av tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och förklarar logiken bakom upphandlingsmixen av tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

    1. Finansiella entiteter får, i enlighet med unionsrätten och den nationella rätten på området utkontraktera uppgiften att kontrollera efterlevnaden av IKT-riskhanteringskraven till koncerninterna eller externa företag. Vid sådan utkontraktering bär den finansiella entiteten det fulla ansvaret för kontrollen av efterlevnaden av IKT-riskhanteringskraven.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod