Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 10 Hantering av sårbarheter och programfixar

    1. Som en del av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 ska finansiella entiteter utarbeta, dokumentera och genomföra förfaranden för sårbarhetshantering.

    1. De förfaranden för sårbarhetshantering som avses i punkt 1 ska

      1. identifiera och uppdatera relevanta och tillförlitliga informationsresurser för att bygga upp och upprätthålla medvetenheten om sårbarheter,

      2. säkerställa utförandet av automatiserade sårbarhetsbedömningar och bedömningar av IKT-tillgångar, varvid frekvensen för och omfattningen av dessa aktiviteter ska stå i proportion till den klassificering som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554 och IKT-tillgångens allmänna riskprofil,

      3. kontrollera huruvida

        1. tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. hanterar sårbarheter relaterade till de IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som tillhandahålls den finansiella entiteten,

        2. dessa tjänsteleverantörer i god tid rapporterar till den finansiella entiteten åtminstone de kritiska sårbarheterna och statistik och trender,

      4. spåra användningen av

        1. tredjepartsbibliotek, inklusive bibliotek med öppen källkod, som används av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner,

        2. IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som utvecklats av den finansiella entiteten själv eller som specifikt anpassats eller utvecklats för den finansiella entiteten av en tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster.,

      5. upprätta förfaranden för ansvarsfullt offentliggörande av sårbarheter till kunder, motparter och till allmänheten,

      6. prioritera införandet av programfixar och andra begränsningsåtgärder för att hantera de identifierade sårbarheterna,

      7. övervaka och kontrollera avhjälpandet av sårbarheter,

      8. kräva registrering av alla upptäckta sårbarheter som berör IKT-system och övervakning av hur de åtgärdas.

    2. Vid tillämpning av led b ska finansiella entiteter utföra automatiserade sårbarhetsbedömningar och bedömningar av IKT-tillgångar för de IKT-tillgångar som stöder kritiska eller viktiga funktioner minst en gång i veckan.

    3. Vid tillämpning av led c ska finansiella entiteter begära att tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. undersöker de relevanta sårbarheterna, fastställer grundorsakerna och genomför lämpliga begränsningsåtgärder.

    4. Vid tillämpning av led d ska finansiella entiteter, när så är lämpligt i samarbete med tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., övervaka versionen och potentiella uppdateringar av tredjepartsbiblioteken. När det gäller IKT-tillgångar som är färdiga att använda (från lager) eller delar av IKT-tillgångar som förvärvats och används för IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som inte stöder kritiska eller viktiga funktioner, ska finansiella entiteter i möjligaste mån spåra användningen av tredjepartsbibliotek, inklusive bibliotek med öppen källkod.

    5. Vid tillämpning av led f ska finansiella entiteter beakta sårbarhetens kritikalitet, den klassificering som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554 och riskprofilen för de IKT-tillgångar som berörs av de identifierade sårbarheterna.

    1. Som en del av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 ska finansiella entiteter utarbeta, dokumentera och genomföra förfaranden för hantering av programfixar.

    1. De förfaranden för hantering av programfixar som avses i punkt 3 ska

      1. i möjligaste mån identifiera och utvärdera tillgängliga program- och hårdvarufixar och program- och hårdvaruuppdateringar med hjälp av automatiserade verktyg,

      2. identifiera nödförfaranden för fixning och uppdatering av IKT-tillgångar,

      3. testa och införa de program- och hårdvarufixar och de program- och hårdvaruuppdateringar som avses i artikel 8.2 b v, vi och vii,

      4. fastställa tidsfrister för installation av program- och hårdvarufixar och program- och hårdvaruuppdateringar samt eskaleringsförfaranden om dessa tidsfrister inte kan hållas.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod