Art. 26 Åtgärds- och återställningsplaner avseende IKT | RTS on ICT risk management framework | DORA

1. Vid utarbetandet av de åtgärds- och återställningsplaner avseende IKT som avses i artikel 11.3 i förordning (EU) 2022/2554 ska finansiella entiteter ta hänsyn till resultaten av den finansiella entitetens verksamhetskonsekvensanalys. Dessa åtgärds- och återställningsplaner avseende IKT ska
  1. ange de villkor som föranleder deras aktivering eller inaktivering, och eventuella undantag från sådan aktivering eller inaktivering,
  2. beskriva vilka åtgärder som ska vidtas för att säkerställa tillgänglighet, integritet och kontinuitet för och återställning av åtminstone IKT-system och IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner hos den finansiella entiteten,
  3. vara utformade för att uppfylla återställningsmålen för de finansiella entiteternas verksamhet,
  4. dokumenteras och göras tillgängliga för den personal som är involverad i genomförandet av åtgärds- och återställningsplaner avseende IKT och vara lättillgängliga i nödsituationer,
  5. innehålla alternativ för återställning på både kort och lång sikt, inbegripet partiell systemåterställning,
  6. fastställa målen för åtgärds- och återställningsplaner avseende IKT och villkoren för att konstatera att dessa planer har genomförts på ett framgångsrikt sätt.
2. Vid tillämpning av led d ska finansiella entiteter tydligt ange roller och ansvarsområden.
1. De åtgärds- och återställningsplaner avseende IKT som avses i punkt 1 ska identifiera relevanta scenarier, inbegripet scenarier med allvarliga störningar i verksamheten och ökad sannolikhet för att störningar inträffar. Dessa planer ska utveckla scenarier baserade på aktuell information om hot och på lärdomar från tidigare störningar i verksamheten. Finansiella entiteter ska vederbörligen beakta samtliga följande scenarier:
  1. Cyberangreppen skadlig IKT-relaterad incident orsakad av ett försök av en fientlig aktör att förstöra, exponera, ändra, deaktivera, stjäla eller få obehörig åtkomst till eller obehörigt utnyttja en tillgång. och byten mellan primär IKT-infrastruktur och reservkapacitet, säkerhetskopior och reservanläggningar.
  2. Scenarier där kvaliteten på tillhandahållandet av en kritisk eller viktig funktionen funktion vars avbrott väsentligt skulle försämra den finansiella entitetens finansiella resultat eller sundheten eller kontinuiteten i dess tjänster och verksamhet, eller om funktionens upphörande, brister eller misslyckande väsentligt skulle försämra en finansiell entitets fortsatta efterlevnad av villkoren och skyldigheterna i auktorisationen eller av dess övriga skyldigheter enligt tillämplig rätt avseende finansiella tjänster. försämras till en oacceptabel nivå eller uteblir, och den potentiella effekten av insolvens, eller andra misslyckanden, hos någon relevant tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster..
  3. Partiellt eller totalt bortfall av lokaler, inklusive kontors- och affärslokaler samt datacentraler.
  4. Betydande fel på IKT-tillgångar eller på kommunikationsinfrastrukturen.
  5. Avsaknad av ett kritiskt antal anställda eller anställda som ansvarar för att garantera verksamhetens kontinuitet.
  6. Effekter av händelser relaterade till klimatförändringar och miljöförstöring, naturkatastrofer, pandemier och fysiska angrepp, inklusive intrång och terrorattentat.
  7. Angrepp inifrån.
  8. Politisk och social instabilitet, inklusive i relevanta fall inom tredjepartsleverantörens av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. jurisdiktion och på den plats där uppgifter lagras och behandlas.
  9. Omfattande strömavbrott.
1. Om de primära återställningsåtgärderna kanske inte är genomförbara på kort sikt på grund av kostnader, risker, logistik eller oförutsedda omständigheter, ska de åtgärds- och återställningsplaner avseende IKT som avses i punkt 1 överväga alternativa möjligheter.
1. Som en del av de åtgärds- och återställningsplaner avseende IKT som avses i punkt 1 ska finansiella entiteter överväga och genomföra kontinuitetsåtgärder för att begränsa misslyckanden hos tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. att tillhandahålla IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner hos den finansiella entiteten.