Art. 2 Allmänna delar av IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg | RTS on ICT risk management framework | DORA

1. Finansiella entiteter ska säkerställa att deras IKT-relaterade säkerhetsstrategier, informationssäkerhet och därtill hörande förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 är integrerade i deras IKT-riskhanteringsram. Finansiella entiteter ska inrätta IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg enligt detta kapitel som
  1. säkerställer säkerheten i nätverk,
  2. innehåller skyddsåtgärder mot intrång och missbruk av uppgifter,
  3. bevarar uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet, inbegripet genom användning av krypteringsmetoder,
  4. garanterar en korrekt och snabb dataöverföring utan allvarliga avbrott och onödiga dröjsmål.
1. Finansiella entiteter ska säkerställa att de IKT-relaterade säkerhetsstrategier som avses i punkt 1
  1. är anpassade till den finansiella entitetens informationssäkerhetsmål som ingår i den strategi för digital operativ motståndskraft som avses i artikel 6.8 i förordning (EU) 2022/2554,
  2. anger datumet för ledningsorganets formella godkännande av IKT-relaterade säkerhetsstrategier,
  3. innehåller indikatorer och åtgärder för att
    övervaka genomförandet av IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg,
    registrera undantag från detta genomförande,
    säkerställa att den finansiella entitetens digitala operativa motståndskraft säkerställs i samband med de undantag som avses i led ii,
  4. specificerar ansvaret för personal på alla nivåer i fråga om att säkerställa den finansiella entitetens IKT-relaterade säkerhet,
  5. anger konsekvenserna när den finansiella entitetens personal inte följer de IKT-relaterade säkerhetsstrategierna, om bestämmelser om detta inte fastställs i den finansiella entitetens övriga strategier,
  6. förtecknar den dokumentation som ska bevaras,
  7. specificerar arrangemangen för åtskillnad av arbetsuppgifter inom ramen för modellen med tre försvarslinjer eller en annan intern riskhanterings- och kontrollmodell, beroende på vad som är tillämpligt, i syfte att undvika intressekonflikter,
  8. beaktar ledande praxis och, i tillämpliga fall, standarder enligt definitionen i artikel 2.1 i förordning (EU) nr 1025/2012,
  9. identifierar roller och ansvarsområden för att utarbeta, genomföra och upprätthålla dessa IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg,
  10. ses över i enlighet med artikel 6.5 i förordning (EU) 2022/2554,
  11. tar hänsyn till väsentliga förändringar som rör den finansiella entiteten, inbegripet väsentliga förändringar i den finansiella entitetens verksamhet eller processer, i cyberhotbilden eller i tillämpliga rättsliga skyldigheter.

I en dynamisk miljö där IKT-riskerna ständigt utvecklas är det viktigt att finansiella entiteter utvecklar sin uppsättning IKT-relaterade säkerhetsstrategier på grundval av ledande praxis och, i tillämpliga fall, standarder enligt definitionen i artikel 2.1 i Europaparlamentets och rådets förordning (EU) nr 1025/2012(²)Europaparlamentets och rådets förordning (EU) nr 1025/2012 av den 25 oktober 2012 om europeisk standardisering och om ändring av rådets direktiv 89/686/EEG och 93/15/EEG samt av Europaparlamentets och rådets direktiv 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG och 2009/105/EG samt om upphävande av rådets beslut 87/95/EEG och Europaparlamentets och rådets beslut nr 1673/2006/EG (EUT L 316, 14.11.2012, s. 12, ELI: http://data.europa.eu/eli/reg/2012/1025/oj).. Detta bör göra det möjligt för de finansiella entiteter som avses i avdelning II i denna förordning att förbli informerade och förberedda i en föränderlig miljö.

Artikel 2 Allmänna delar av IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg

Relevant recitals