Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 16 Förvärv, utveckling och underhåll av IKT-system

    1. Som en del av skyddsåtgärderna för att bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet ska de finansiella entiteterna utarbeta, dokumentera och genomföra en policy som styr förvärv, utveckling och underhåll av IKT-system. Denna policy ska

      1. identifiera säkerhetsrutiner och metoder som rör förvärv, utveckling och underhåll av IKT-system,

      2. kräva identifiering av

        1. tekniska specifikationer och tekniska specifikationer på IKT-området, enligt definitionerna i artikel 2.4 och 2.5 i förordning (EU) nr 1025/2012,

        2. krav som rör förvärv, utveckling och underhåll av IKT-system, med särskilt fokus på IKT-säkerhetskrav och på deras godkännande av den relevanta affärsfunktionen och ägaren av IKT-tillgångar i enlighet med den finansiella entitetens interna styrningsarrangemang,

      3. specificera åtgärder för att minska risken för oavsiktlig ändring eller avsiktlig manipulering av IKT-systemen under utveckling, underhåll och införande av dessa IKT-system i produktionsmiljön.

    1. Finansiella entiteter ska utarbeta, dokumentera och genomföra ett förfarande för förvärv, utveckling och underhåll av IKT-system för testning och godkännande av alla IKT-system före användning och efter underhåll, i enlighet med artikel 8.2 b v, vi och vii. Testnivån ska stå i proportion till hur kritiska de berörda affärsförfarandena och IKT-tillgångarna är. Testningen ska utformas för att verifiera att nya IKT-system är lämpliga för att fungera som avsett, inbegripet kvaliteten på den programvara som utvecklats internt.

    2. Centrala motparter ska, utöver de krav som fastställs i första stycket, vid behov involvera följande i utformningen och genomförandet av de tester som avses i första stycket:

      1. Clearingmedlemmar och clearingkunder.

      2. Interoperabla centrala motparter.

      3. Andra berörda parter.

    3. Värdepapperscentraler ska, utöver de krav som fastställs i första stycket, vid behov involvera följande i utformningen och genomförandet av de tester som avses i första stycket:

      1. Användare.

      2. Kritiska försörjningstjänster och kritiska tjänsteleverantörer.

      3. Andra värdepapperscentraler.

      4. Andra marknadsinfrastrukturer.

      5. Alla andra institut med vilka värdepapperscentralerna har identifierat ömsesidiga beroenden i sin kontinuitetspolicy.

    1. Det förfarande som avses i punkt 2 ska omfatta granskningar av källkod som omfattar både statisk och dynamisk testning. Denna testning ska innehålla säkerhetstestning för internetexponerade system och applikationer i enlighet med artikel 8.2 b v, vi och vii. De finansiella entiteterna ska

      1. identifiera och analysera sårbarheter och avvikelser i källkoden,

      2. anta en handlingsplan för att åtgärda dessa sårbarheter och avvikelser,

      3. övervaka genomförandet av denna handlingsplan.

    1. Det förfarande som avses i punkt 2 ska omfatta säkerhetstestning av programvarupaket senast i integrationsfasen, i enlighet med artikel 8.2 b v, vi och vii.

    1. Det förfarande som avses i punkt 2 ska föreskriva att

      1. miljöer som inte är produktionsmiljöer endast lagrar anonymiserade, pseudonymiserade eller randomiserade produktionsdata,

      2. finansiella entiteter ska skydda uppgifternas integritet och konfidentialitet i miljöer som inte är produktionsmiljöer.

    1. Genom undantag från punkt 5 får det förfarande som avses i punkt 2 föreskriva att produktionsdata lagras endast för specifika testtillfällen, under begränsade tidsperioder och efter godkännande av den relevanta funktionen och rapportering av sådana tillfällen till IKT-riskhanteringsfunktionen.

    1. Det förfarande som avses i punkt 2 ska omfatta genomförandet av kontroller för att skydda integriteten hos källkoden för IKT-system som utvecklas internt eller av en tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster. och som levereras till den finansiella entiteten av en tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster..

    1. Det förfarande som avses i punkt 2 ska föreskriva att proprietär programvara och, om möjligt, den källkod som tillhandahålls av tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. eller som kommer från projekt med öppen källkod ska analyseras och testas i enlighet med punkt 3 innan de införs i produktionsmiljön.

    1. Punkterna 1–8 i denna artikel ska också tillämpas på IKT-system som utvecklas eller förvaltas av användare utanför IKT-funktionen, med hjälp av en riskbaserad metod.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod