Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 12 Loggning
Finansiella entiteter ska, som en del av skyddsåtgärderna mot intrång och missbruk av uppgifter, utarbeta, dokumentera och införa förfaranden, protokoll och verktyg för loggning.
De förfaranden, protokoll och verktyg för loggning som avses i punkt 1 ska innehålla allt av följande:
Identifiering av de händelser som ska loggas, loggarnas lagringstid och åtgärder för att säkra och hantera logguppgifterna, med beaktande av det syfte för vilket loggarna skapas.
Anpassning av loggarnas detaljnivå till deras syfte och användning, för att möjliggöra effektiv upptäckt av onormal verksamhet enligt artikel 24.
Kravet att logga händelser som är relaterade till
logisk och fysisk åtkomstkontroll, enligt artikel 21, och identitetshantering,
kapacitetshantering,
hantering av förändringar,
IKT-verksamhet, inbegripet IKT-systemverksamhet,
nätverkstrafik, inbegripet IKT-nätverkens prestanda.
Åtgärder för att skydda loggningssystem och logginformation mot manipulering, radering och obehörig åtkomst i vila, under överföring och, i relevanta fall, i bruk.
Åtgärder för att upptäcka fel i loggningssystem.
Utan att det påverkar tillämpningen av eventuella tillämpliga lagstadgade krav enligt unionsrätten eller nationell rätt, synkronisering av klockorna i den finansiella entitetens samtliga IKT-system med en dokumenterad tillförlitlig referenstidskälla.
Vid tillämpning av led a ska finansiella entiteter fastställa lagringstiden med beaktande av verksamhets- och informationssäkerhetsmålen, skälet till att händelsen registreras i loggarna och resultaten av IKT-riskbedömningen.
Relevant recitals
Skäl 9 Encryption and cryptographic controls
Kryptografiska säkerhetsåtgärder kan säkerställa uppgifters tillgänglighet, äkthet, integritet och konfidentialitet. Finansiella entiteter som avses i avdelning II i denna förordning bör därför identifiera och genomföra sådana åtgärder baserat på en riskbaserad metod. I detta syfte bör de finansiella entiteterna kryptera de berörda uppgifterna i vila, under överföring eller, vid behov, i bruk, baserat på resultaten av en tvådelad process, nämligen dataklassificering och en heltäckande IKT-riskbedömning. Med tanke på komplexiteten i att kryptera uppgifter i bruk bör de finansiella entiteter som avses i avdelning II i denna förordning endast kryptera uppgifter i bruk om det är lämpligt mot bakgrund av resultaten av IKT-riskbedömningen. De finansiella entiteter som avses i avdelning II i denna förordning bör dock, om kryptering av uppgifter i bruk inte är genomförbar eller är alltför komplex, kunna skydda de berörda uppgifternas konfidentialitet, integritet och tillgänglighet genom andra IKT-säkerhetsåtgärder. Med tanke på den snabba tekniska utvecklingen inom området för krypteringsmetoder bör de finansiella entiteter som avses i avdelning II i denna förordning hålla sig à jour med den relevanta utvecklingen inom kryptoanalys och beakta ledande praxis och standarder. De finansiella entiteter som avses i avdelning II i denna förordning bör därför följa en flexibel strategi, baserad på riskreducering och riskövervakning, för att hantera den dynamiska utvecklingen av kryptografiska hot, inbegripet hot från framsteg inom kvantteknik.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.