Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 17 Hantering av IKT-förändringar
Som en del av skyddsåtgärderna för att bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet ska finansiella entiteter i de förfaranden för hantering av IKT-förändringar som avses i artikel 9.4 e i förordning (EU) 2022/2554, när det gäller alla ändringar av programvara, hårdvara, komponenter i fast programvara, system eller säkerhetsparametrar, inkludera samtliga följande delar:
En kontroll av huruvida IKT-säkerhetskraven har uppfyllts.
Mekanismer för att säkerställa oberoendet mellan de funktioner som godkänner förändringar och de funktioner som ansvarar för att begära och genomföra dessa förändringar.
En tydlig beskrivning av roller och ansvarsområden för att säkerställa att
förändringar specificeras och planeras,
en lämplig övergång utformas,
förändringarna testas och slutförs på ett kontrollerat sätt,
det finns en effektiv kvalitetssäkring.
Dokumentation och kommunikation av uppgifter om förändringar, inklusive
förändringens syfte och omfattning,
tidslinjen för genomförandet av förändringen,
de förväntade resultaten.
Identifiering av reservförfaranden och ansvarsområden för sådana, inklusive förfaranden och ansvarsområden för att avbryta förändringar eller återställa förändringar som inte genomförts framgångsrikt.
Förfaranden, protokoll och verktyg för hantering av akuta förändringar som innehåller tillräckliga skyddsåtgärder.
Förfaranden för att dokumentera, omvärdera, bedöma och godkänna akuta förändringar efter deras genomförande, inklusive kringgående operationer och programfixar.
Identifiering av den potentiella inverkan av en förändring på befintliga IKT-säkerhetsåtgärder och en bedömning av huruvida en sådan förändring kräver att ytterligare IKT-säkerhetsåtgärder vidtas.
Efter att ha gjort betydande förändringar i sina IKT-system ska centrala motparter och värdepapperscentraler låta sina IKT-system genomgå stränga tester genom att simulera ansträngda lägen.
Centrala motparter ska vid behov involvera följande i utformningen och genomförandet av de tester som avses i första stycket:
Clearingmedlemmar och clearingkunder.
Interoperabla centrala motparter.
Andra berörda parter.
Värdepapperscentraler ska vid behov involvera följande i utformningen och genomförandet av de tester som avses i första stycket:
Användare.
Kritiska försörjningstjänster och kritiska tjänsteleverantörer.
Andra värdepapperscentraler.
Andra marknadsinfrastrukturer.
Alla andra institut med vilka värdepapperscentralerna har identifierat ömsesidiga beroenden i sin IKT-kontinuitetspolicy.
Relevant recitals
Skäl 17 ICT change management policies and procedures
Förändringar, oavsett omfattning, medför inneboende risker och kan innebära betydande risker för att uppgifternas konfidentialitet, integritet och tillgänglighet förloras, och kan därmed leda till allvarliga störningar i verksamheten. För att skydda finansiella entiteter mot potentiella IKT-sårbarheter och IKT-svagheter som kan utsätta dem för betydande risker, är en strikt verifieringsprocess nödvändig för att bekräfta att alla förändringar uppfyller de nödvändiga IKT-säkerhetskraven. Finansiella entiteter som avses i avdelning II i denna förordning bör därför, som en väsentlig del av sina IKT-relaterade säkerhetsstrategier och förfaranden, införa sunda strategier och förfaranden för hantering av IKT-förändringar. För att upprätthålla objektiviteten och ändamålsenligheten i processen för hantering av IKT-förändringar, förhindra intressekonflikter och säkerställa att IKT-förändringar utvärderas objektivt, måste de funktioner som ansvarar för att godkänna dessa förändringar skiljas från de funktioner som begär och genomför dessa förändringar. För att uppnå effektiva omställningar, kontrollerat genomförande av IKT-förändringar och minimala störningar i driften av IKT-systemen bör de finansiella entiteterna fastställa tydliga roller och ansvarsområden som säkerställer att IKT-förändringar planeras och testas på lämpligt sätt och att kvaliteten säkerställs. För att säkerställa att IKT-system fortsätter att fungera effektivt, och för att tillhandahålla ett skyddsnät för finansiella entiteter, bör finansiella entiteter också utveckla och genomföra reservförfaranden. Finansiella entiteter bör tydligt identifiera dessa reservförfaranden och tilldela ansvar för att säkerställa en snabb och effektiv respons i händelse av misslyckade IKT-förändringar.
Skäl 24 Additional requirements for financial market infrastructure participants
Det är nödvändigt att fastställa krav för operativ risk, och mer specifikt krav på IKT-projekthantering och hantering av IKT-förändringar samt IKT-kontinuitetshantering med utgångspunkt i de krav som redan gäller för centrala motparter, värdepapperscentraler och handelsplatser enligt Europaparlamentets och rådets förordningar (EU) nr 648/2012(3)Europaparlamentets och rådets förordning (EU) nr 648/2012 av den 4 juli 2012 om OTC-derivat, centrala motparter och transaktionsregister (EUT L 201, 27.7.2012, s. 1, ELI: http://data.europa.eu/eli/reg/2012/648/oj)., (EU) nr 600/2014(4)Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj). och (EU) nr 909/2014(5)Europaparlamentets och rådets förordning (EU) nr 909/2014 av den 23 juli 2014 om förbättrad värdepappersavveckling i Europeiska unionen och om värdepapperscentraler samt ändring av direktiv 98/26/EG och 2014/65/EU och förordning (EU) nr 236/2012 (EUT L 257, 28.8.2014, s. 1, ELI: http://data.europa.eu/eli/reg/2014/909/oj)..
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.