Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 11 Data- och systemsäkerhet

    1. Som en del av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 ska finansiella entiteter utarbeta, dokumentera och genomföra ett förfarande för data- och systemsäkerhet.

    1. Det förfarande för data- och systemsäkerhet som avses i punkt 1 ska innehålla samtliga följande delar som rör data- och IKT-systemsäkerhet, i enlighet med den klassificering som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554:

      1. De åtkomstbegränsningar som avses i artikel 21 i den här förordningen och som stöder skyddskraven för varje klassificeringsnivå.

      2. Identifiering av en baslinje för säker konfiguration för IKT-tillgångar vilken minimerar dessa IKT-tillgångars exponering för cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881., och åtgärder för att regelbundet kontrollera att dessa baslinjer används ändamålsenligt.

      3. Identifiering av säkerhetsåtgärder för att säkerställa att endast godkänd programvara installeras i IKT-system och slutpunktsenheter.

      4. Identifiering av säkerhetsåtgärder mot skadlig kod.

      5. Identifiering av säkerhetsåtgärder för att säkerställa att endast godkända datalagringsmedier, system och slutpunktsenheter används för att överföra och lagra uppgifter från den finansiella entiteten.

      6. Följande krav för att säkra användningen av bärbara slutpunktsenheter och privata icke-bärbara slutpunktsenheter:

        1. Kravet att använda en hanteringslösning för att fjärrhantera slutpunktsenheterna och fjärrensa den finansiella entitetens uppgifter.

        2. Kravet att använda säkerhetsmekanismer som inte kan ändras, tas bort eller kringgås av personal eller tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. på ett obehörigt sätt.

        3. Kravet att använda flyttbara datalagringsenheter endast om den kvarstående IKT-risken ligger inom den finansiella entitetens risktoleransnivå enligt artikel 3 första stycket a.

      7. Processen för att på ett säkert sätt radera uppgifter som finns i den finansiella entitetens lokaler eller lagras externt, och som den finansiella entiteten inte längre behöver samla in eller lagra.

      8. Processen för att på ett säkert sätt bortskaffa eller obrukbargöra datalagringsenheter som finns i den finansiella entitetens lokaler eller lagras externt, och som innehåller konfidentiell information.

      9. Identifiering och genomförande av säkerhetsåtgärder för att förhindra dataförlust och dataläckage för system och slutpunktsenheter.

      10. Genomförande av säkerhetsåtgärder för att säkerställa att distansarbete och användning av privata slutpunktsenheter inte negativt påverkar den finansiella entitetens IKT-säkerhet.

      11. När det gäller IKT-tillgångar eller tjänster som tillhandahålls av en tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster., identifiering och genomförande av krav för att upprätthålla digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott., i enlighet med resultaten av dataklassificeringen och IKT-riskbedömningen.

    2. Vid tillämpning av led b ska den baslinje för säker konfiguration som avses i det ledet beakta ledande praxis och lämpliga metoder som fastställs i de standarder som definieras i artikel 2.1 i förordning (EU) nr 1025/2012.

    3. Vid tillämpning av led k ska finansiella entiteter beakta följande:

      1. Genomförande av leverantörens rekommenderade inställningar på de delar som används av den finansiella entiteten.

      2. En tydlig fördelning av roller och ansvarsområden för informationssäkerhet mellan den finansiella entiteten och tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., i enlighet med principen om den finansiella entitetens fulla ansvar för sin tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster. enligt artikel 28.1 a i förordning (EU) 2022/2554, och för finansiella entiteter som avses i artikel 28.2 i den förordningen, i enlighet med den finansiella entitetens policy för användning av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner.

      3. Behovet av att säkerställa och upprätthålla lämplig kompetens inom den finansiella entiteten när det gäller hantering av och säkerhet för den tjänst som används.

      4. Tekniska och organisatoriska åtgärder för att minimera riskerna i samband med den infrastruktur som används av tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. för dess IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., med beaktande av ledande praxis och standarder enligt definitionen i artikel 2.1 i förordning (EU) nr 1025/2012.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod