Art. 17 Hantering av IKT-förändringar | RTS on ICT risk management framework | DORA

1. Som en del av skyddsåtgärderna för att bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet ska finansiella entiteter i de förfaranden för hantering av IKT-förändringar som avses i artikel 9.4 e i förordning (EU) 2022/2554, när det gäller alla ändringar av programvara, hårdvara, komponenter i fast programvara, system eller säkerhetsparametrar, inkludera samtliga följande delar:
  1. En kontroll av huruvida IKT-säkerhetskraven har uppfyllts.
  2. Mekanismer för att säkerställa oberoendet mellan de funktioner som godkänner förändringar och de funktioner som ansvarar för att begära och genomföra dessa förändringar.
  3. En tydlig beskrivning av roller och ansvarsområden för att säkerställa att
    
    förändringar specificeras och planeras,
    
    en lämplig övergång utformas,
    
    förändringarna testas och slutförs på ett kontrollerat sätt,
    
    det finns en effektiv kvalitetssäkring.
  4. Dokumentation och kommunikation av uppgifter om förändringar, inklusive
    
    förändringens syfte och omfattning,
    
    tidslinjen för genomförandet av förändringen,
    
    de förväntade resultaten.
  5. Identifiering av reservförfaranden och ansvarsområden för sådana, inklusive förfaranden och ansvarsområden för att avbryta förändringar eller återställa förändringar som inte genomförts framgångsrikt.
  6. Förfaranden, protokoll och verktyg för hantering av akuta förändringar som innehåller tillräckliga skyddsåtgärder.
  7. Förfaranden för att dokumentera, omvärdera, bedöma och godkänna akuta förändringar efter deras genomförande, inklusive kringgående operationer och programfixar.
  8. Identifiering av den potentiella inverkan av en förändring på befintliga IKT-säkerhetsåtgärder och en bedömning av huruvida en sådan förändring kräver att ytterligare IKT-säkerhetsåtgärder vidtas.
1. Efter att ha gjort betydande förändringar i sina IKT-system ska centrala motparter och värdepapperscentraler låta sina IKT-system genomgå stränga tester genom att simulera ansträngda lägen.
2. Centrala motparter ska vid behov involvera följande i utformningen och genomförandet av de tester som avses i första stycket:
  1. Clearingmedlemmar och clearingkunder.
  2. Interoperabla centrala motparter.
  3. Andra berörda parter.
3. Värdepapperscentraler ska vid behov involvera följande i utformningen och genomförandet av de tester som avses i första stycket:
  1. Användare.
  2. Kritiska försörjningstjänster och kritiska tjänsteleverantörer.
  3. Andra värdepapperscentraler.
  4. Andra marknadsinfrastrukturer.
  5. Alla andra institut med vilka värdepapperscentralerna har identifierat ömsesidiga beroenden i sin IKT-kontinuitetspolicy.