Art. 26 Åtgärds- och återställningsplaner avseende IKT | RTS on ICT risk management framework | DORA

1. Vid utarbetandet av de åtgärds- och återställningsplaner avseende IKT som avses i artikel 11.3 i förordning (EU) 2022/2554 ska finansiella entiteter ta hänsyn till resultaten av den finansiella entitetens verksamhetskonsekvensanalys. Dessa åtgärds- och återställningsplaner avseende IKT ska
  1. ange de villkor som föranleder deras aktivering eller inaktivering, och eventuella undantag från sådan aktivering eller inaktivering,
  2. beskriva vilka åtgärder som ska vidtas för att säkerställa tillgänglighet, integritet och kontinuitet för och återställning av åtminstone IKT-system och IKT-tjänster som stöder kritiska eller viktiga funktioner hos den finansiella entiteten,
  3. vara utformade för att uppfylla återställningsmålen för de finansiella entiteternas verksamhet,
  4. dokumenteras och göras tillgängliga för den personal som är involverad i genomförandet av åtgärds- och återställningsplaner avseende IKT och vara lättillgängliga i nödsituationer,
  5. innehålla alternativ för återställning på både kort och lång sikt, inbegripet partiell systemåterställning,
  6. fastställa målen för åtgärds- och återställningsplaner avseende IKT och villkoren för att konstatera att dessa planer har genomförts på ett framgångsrikt sätt.
2. Vid tillämpning av led d ska finansiella entiteter tydligt ange roller och ansvarsområden.
1. De åtgärds- och återställningsplaner avseende IKT som avses i punkt 1 ska identifiera relevanta scenarier, inbegripet scenarier med allvarliga störningar i verksamheten och ökad sannolikhet för att störningar inträffar. Dessa planer ska utveckla scenarier baserade på aktuell information om hot och på lärdomar från tidigare störningar i verksamheten. Finansiella entiteter ska vederbörligen beakta samtliga följande scenarier:
  1. Cyberangrepp och byten mellan primär IKT-infrastruktur och reservkapacitet, säkerhetskopior och reservanläggningar.
  2. Scenarier där kvaliteten på tillhandahållandet av en kritisk eller viktig funktion försämras till en oacceptabel nivå eller uteblir, och den potentiella effekten av insolvens, eller andra misslyckanden, hos någon relevant tredjepartsleverantör av IKT-tjänster.
  3. Partiellt eller totalt bortfall av lokaler, inklusive kontors- och affärslokaler samt datacentraler.
  4. Betydande fel på IKT-tillgångar eller på kommunikationsinfrastrukturen.
  5. Avsaknad av ett kritiskt antal anställda eller anställda som ansvarar för att garantera verksamhetens kontinuitet.
  6. Effekter av händelser relaterade till klimatförändringar och miljöförstöring, naturkatastrofer, pandemier och fysiska angrepp, inklusive intrång och terrorattentat.
  7. Angrepp inifrån.
  8. Politisk och social instabilitet, inklusive i relevanta fall inom tredjepartsleverantörens av IKT-tjänster jurisdiktion och på den plats där uppgifter lagras och behandlas.
  9. Omfattande strömavbrott.
1. Om de primära återställningsåtgärderna kanske inte är genomförbara på kort sikt på grund av kostnader, risker, logistik eller oförutsedda omständigheter, ska de åtgärds- och återställningsplaner avseende IKT som avses i punkt 1 överväga alternativa möjligheter.
1. Som en del av de åtgärds- och återställningsplaner avseende IKT som avses i punkt 1 ska finansiella entiteter överväga och genomföra kontinuitetsåtgärder för att begränsa misslyckanden hos tredjepartsleverantörer av IKT-tjänster att tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner hos den finansiella entiteten.

Det är nödvändigt att fastställa den uppsättning scenarier som de finansiella entiteter som avses i avdelning II i denna förordning bör beakta både vid genomförandet av åtgärds- och återställningsplaner avseende IKT och testning av IKT-kontinuitetsplaner. Dessa scenarier bör tjäna som utgångspunkt för de finansiella entiteternas analys av både relevansen och rimligheten i varje scenario och behovet av att utveckla alternativa scenarier. Finansiella entiteter bör fokusera på de scenarier där investeringar i åtgärder för motståndskraft skulle kunna vara mer effektiva och ändamålsenliga. Genom att testa byten mellan den primära IKT-infrastrukturen och reservkapacitet, säkerhetskopior och reservanläggningar bör finansiella institut bedöma om denna kapacitet och dessa säkerhetskopior och anläggningar fungerar effektivt under en tillräckligt lång tidsperiod och säkerställa att den primära IKT-infrastrukturens normala funktion återställs i enlighet med återställningsmålen.

Artikel 26 Åtgärds- och återställningsplaner avseende IKT

Relevant recitals