Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 25 Testning av IKT-kontinuitetsplanerna

    1. När finansiella entiteter testar IKT-kontinuitetsplanerna i enlighet med artikel 11.6 i förordning (EU) 2022/2554 ska de ta hänsyn till den finansiella entitetens verksamhetskonsekvensanalys och den IKT-riskbedömning som avses i artikel 3 första stycket b i den här förordningen.

    1. Finansiella entiteter ska genom testning av sina IKT-kontinuitetsplaner enligt punkt 1 bedöma om de kan säkerställa kontinuiteten i sina kritiska eller viktiga funktioner. Denna testning ska

      1. utföras på grundval av testscenarier som simulerar potentiella avbrott, inklusive en lämplig uppsättning allvarliga men troliga scenarier,

      2. innefatta IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som tillhandahålls av tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., i tillämpliga fall,

      3. för andra finansiella entiteter än mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. enligt artikel 11.6 andra stycket i förordning (EU) 2022/2554, innehålla scenarier för byten från primär IKT-infrastruktur till reservkapacitet, säkerhetskopior och reservanläggningar,

      4. vara utformad för att pröva de antaganden som kontinuitetsplanerna bygger på, inbegripet styrningsarrangemang och kriskommunikationsplaner,

      5. innehålla förfaranden för att kontrollera förmågan hos de finansiella entiteternas personal, tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., IKT-system och IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. att reagera på ett adekvat sätt på de scenarier som vederbörligen beaktas i enlighet med artikel 26.2.

    2. Vid tillämpning av led a ska finansiella entiteter alltid inkludera de scenarier som beaktats vid utarbetandet av kontinuitetsplanerna i testerna.

    3. Vid tillämpning av led b ska finansiella entiteter vederbörligen beakta scenarier kopplade till insolvens eller misslyckanden hos tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. eller kopplade till politiska risker i tredjepartsleverantörernas jurisdiktioner, i relevanta fall.

    4. Vid tillämpning av led c ska testningen verifiera om åtminstone kritiska eller viktiga funktioner kan drivas på lämpligt sätt under en tillräckligt lång tidsperiod och om den normala funktionen kan återställas.

    1. Utöver de krav som avses i punkt 2 ska centrala motparter vid testningen av sina IKT-kontinuitetsplaner enligt punkt 1 involvera

      1. clearingmedlemmar,

      2. externa leverantörer,

      3. relevanta institut i den finansiella infrastrukturen med vilka de centrala motparterna har identifierat ömsesidiga beroenden i sina kontinuitetspolicyer.

    1. Utöver de krav som avses i punkt 2 ska värdepapperscentraler vid testningen av sina IKT-kontinuitetsplaner enligt punkt 1 i tillämpliga fall involvera

      1. användare av värdepapperscentralerna,

      2. kritiska försörjningstjänster och kritiska tjänsteleverantörer,

      3. andra värdepapperscentraler,

      4. andra marknadsinfrastrukturer,

      5. alla andra institut med vilka värdepapperscentralerna har identifierat ömsesidiga beroenden i sin kontinuitetspolicy.

    1. Finansiella entiteter ska dokumentera resultaten av den testning som avses i punkt 1. Alla brister som identifieras till följd av denna testning ska analyseras, åtgärdas och rapporteras till ledningsorganet.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod