Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 23 Upptäckt av onormal verksamhet och kriterier för upptäckt och hantering av IKT-relaterade incidenter
Finansiella entiteter ska fastställa tydliga roller och ansvarsområden för att på ett ändamålsenligt sätt upptäcka och hantera IKT-relaterade incidenter och onormal verksamhet.
Mekanismen för att snabbt upptäcka onormal verksamhet, inbegripet frågor som rör IKT-nätverkens prestanda och IKT-relaterade incidenter, som avses i artikel 10.1 i förordning (EU) 2022/2554, ska göra det möjligt för finansiella entiteter att
samla in, övervaka och analysera
interna och externa faktorer, inklusive åtminstone de loggar som samlats in i enlighet med artikel 12 i denna förordning, information från affärsfunktioner och IKT-funktioner samt eventuella problem som rapporterats av användare av den finansiella entiteten,
potentiella interna och externa cyberhot, med beaktande av scenarier som vanligtvis används av fientliga aktörer och scenarier baserade på underrättelser om hot,
underrättelser från en tredjepartsleverantör av IKT-tjänster till den finansiella entiteten om IKT-relaterade incidenter som upptäckts i IKT-system och IKT-nätverk hos tredjepartsleverantören av IKT-tjänster och som kan beröra den finansiella entiteten,
identifiera onormal verksamhet och onormalt beteende, och införa verktyg som utfärdar varningar för onormal verksamhet och onormalt beteende, åtminstone för IKT-tillgångar och informationstillgångar som stöder kritiska eller viktiga funktioner,
prioritera de varningar som avses i led b för att möjliggöra hantering av de upptäckta IKT-relaterade incidenterna inom den förväntade åtgärdstiden, enligt vad som anges av finansiella entiteter, både under och utanför arbetstid,
registrera, analysera och utvärdera all relevant information om all onormal verksamhet och allt onormalt beteende automatiskt eller manuellt.
Vid tillämpning av led b ska de verktyg som avses i det ledet innehålla verktyg som tillhandahåller automatiska varningar baserade på fördefinierade regler för att identifiera avvikelser som påverkar datakällornas eller logginsamlingens fullständighet och integritet.
Finansiella entiteter ska skydda all registrering av onormal verksamhet mot manipulering och obehörig åtkomst i vila, under överföring och, i relevanta fall, i bruk.
För varje upptäckt onormal verksamhet ska finansiella entiteter logga all relevant information, vilken möjliggör
identifiering av datum och tidpunkt för uppkomst av den onormala verksamheten,
identifiering av datum och tidpunkt för upptäckt av den onormala verksamheten,
identifiering av typen av onormal verksamhet.
Finansiella entiteter ska beakta samtliga följande kriterier för att utlösa de processer för upptäckt och hantering av IKT-relaterade incidenter som avses i artikel 10.2 i förordning (EU) 2022/2554:
Indikationer på att skadlig verksamhet kan ha utförts i ett IKT-system eller IKT-nätverk, eller att ett sådant IKT-system eller IKT-nätverk kan ha komprometterats.
Dataförluster som upptäcks när det gäller uppgifters tillgänglighet, äkthet, integritet och konfidentialitet.
Upptäckt negativ påverkan på den finansiella entitetens transaktioner och verksamhet.
IKT-systems och IKT-nätverks otillgänglighet.
Vid tillämpning av punkt 5 ska finansiella entiteter också beakta hur kritiska de berörda tjänsterna är.
Relevant recitals
Skäl 9 Encryption and cryptographic controls
Kryptografiska säkerhetsåtgärder kan säkerställa uppgifters tillgänglighet, äkthet, integritet och konfidentialitet. Finansiella entiteter som avses i avdelning II i denna förordning bör därför identifiera och genomföra sådana åtgärder baserat på en riskbaserad metod. I detta syfte bör de finansiella entiteterna kryptera de berörda uppgifterna i vila, under överföring eller, vid behov, i bruk, baserat på resultaten av en tvådelad process, nämligen dataklassificering och en heltäckande IKT-riskbedömning. Med tanke på komplexiteten i att kryptera uppgifter i bruk bör de finansiella entiteter som avses i avdelning II i denna förordning endast kryptera uppgifter i bruk om det är lämpligt mot bakgrund av resultaten av IKT-riskbedömningen. De finansiella entiteter som avses i avdelning II i denna förordning bör dock, om kryptering av uppgifter i bruk inte är genomförbar eller är alltför komplex, kunna skydda de berörda uppgifternas konfidentialitet, integritet och tillgänglighet genom andra IKT-säkerhetsåtgärder. Med tanke på den snabba tekniska utvecklingen inom området för krypteringsmetoder bör de finansiella entiteter som avses i avdelning II i denna förordning hålla sig à jour med den relevanta utvecklingen inom kryptoanalys och beakta ledande praxis och standarder. De finansiella entiteter som avses i avdelning II i denna förordning bör därför följa en flexibel strategi, baserad på riskreducering och riskövervakning, för att hantera den dynamiska utvecklingen av kryptografiska hot, inbegripet hot från framsteg inom kvantteknik.
Skäl 19 Detection of anomalous activities
För att garantera en tidig och effektiv upptäckt av onormal verksamhet bör de finansiella entiteter som avses i avdelning II i denna förordning samla in, övervaka och analysera de olika informationskällorna och fördela relaterade roller och ansvarsområden. När det gäller interna informationskällor är loggar en ytterst relevant källa, men finansiella entiteter bör inte förlita sig enbart på loggar. I stället bör de finansiella entiteterna överväga att bredda informationen till att omfatta vad som rapporteras av andra interna funktioner, eftersom dessa funktioner ofta är en värdefull källa till relevant information. Av samma skäl bör finansiella entiteter analysera och övervaka information som samlats in från externa källor, inklusive information som tillhandahålls av tredjepartsleverantörer av IKT-tjänster om incidenter som berör deras system och nätverk, och andra informationskällor som finansiella entiteter anser vara relevanta. I den mån sådan information utgör personuppgifter är unionens dataskyddslagstiftning tillämplig. Personuppgifterna bör begränsas till vad som är nödvändigt för att upptäcka incidenter.
Skäl 20 Incident evidence retention
För att underlätta upptäckt av IKT-relaterade incidenter bör finansiella entiteter bevara bevisning för sådana incidenter. För att å ena sidan säkerställa att sådan bevisning bevaras tillräckligt länge och å andra sidan undvika en alltför stor regelbörda, bör finansiella entiteter fastställa lagringstiden med beaktande av bland annat uppgifternas kritikalitet och lagringskrav som härrör från unionsrätten.
Skäl 21 Comprehensive triggers for ICT-related incidents
För att säkerställa att IKT-relaterade incidenter upptäcks i tid bör de finansiella entiteter som avses i avdelning II i denna förordning betrakta de kriterier som fastställs för att utlösa processer för upptäckt och hantering av IKT-relaterade incidenter som icke uttömmande. Även om finansiella entiteter bör beakta vart och ett av dessa kriterier, bör vidare de omständigheter som beskrivs i kriterierna inte behöva inträffa samtidigt, och betydelsen av de berörda IKT-tjänsterna bör beaktas på lämpligt sätt vid utlösandet av processer för upptäckt och hantering av IKT-relaterade incidenter.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.