Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 27 Formatet för och innehållet i rapporten om översynen av IKT-riskhanteringsramen

    1. Finansiella entiteter ska lämna in den rapport om översynen av IKT-riskhanteringsramen som avses i artikel 6.5 i förordning (EU) 2022/2554 i ett sökbart elektroniskt format.

    1. Finansiella entiteter ska ta med all följande information i den rapport som avses i punkt 1:

      1. Ett inledande avsnitt som

        1. tydligt identifierar den finansiella entitet som är föremål för rapporten och beskriver dess koncernstruktur, där så är relevant,

        2. beskriver bakgrunden till rapporten med avseende på karaktären på, omfattningen av och komplexiteten i den finansiella entitetens tjänster, verksamhet och insatser, den finansiella entitetens organisation, identifierade kritiska funktioner, strategi, större pågående projekt eller aktiviteter, relationer och beroende av interna och utkontrakterade IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och IKT-system eller de konsekvenser som en total förlust eller allvarlig försämring av sådana system skulle få med avseende på kritiska eller viktiga funktioner och marknadseffektivitet,

        3. sammanfattar de större förändringarna i IKT-riskhanteringsramen sedan den föregående inlämnade rapporten,

        4. på verkställande nivå sammanfattar den aktuella IKT-riskprofilen och IKT-riskprofilen för närmare tid, hotbilden, den bedömda effektiviteten av dess kontroller och den finansiella entitetens säkerhetsstatus.

      2. Datum för godkännande av rapporten av den finansiella entitetens ledningsorganett ledningsorgan enligt definitionen i artikel 4.1.36 i direktiv 2014/65/EU, artikel 3.1.7 i direktiv 2013/36/EU, artikel 2.1 s i Europaparlamentets och rådets direktiv 2009/65/EG(31) Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (EUT L 302, 17.11.2009, s. 32)., artikel 2.1.45 i förordning (EU) nr 909/2014, artikel 3.1.20 i förordning (EU) 2016/1011 och i de relevanta bestämmelserna i förordningen om kryptotillgångar, eller motsvarande personer som i praktiken leder entiteten eller har nyckelfunktioner i enlighet med relevant unionsrätt eller nationell rätt..

      3. En beskrivning av skälet till översynen av IKT-riskhanteringsramen i enlighet med artikel 6.5 i förordning (EU) 2022/2554.

      4. Start- och slutdatum för översynsperioden.

      5. En uppgift om vilken funktion som ansvarar för översynen.

      6. En beskrivning av större förändringar och förbättringar av IKT-riskhanteringsramen sedan den föregående översynen.

      7. En sammanfattning av resultaten av översynen och en detaljerad analys och bedömning av hur allvarliga svagheterna, bristerna och luckorna i IKT-riskhanteringsramen har varit under översynsperioden.

      8. En beskrivning av åtgärderna för att hantera identifierade svagheter, brister och luckor, inklusive

        1. en sammanfattning av de åtgärder som vidtagits för att avhjälpa identifierade svagheter, brister och luckor,

        2. ett förväntat datum för genomförande av åtgärderna och datum för den interna kontrollen av genomförandet, inklusive information om hur långt genomförandet av dessa åtgärder har kommit vid tidpunkten för upprättandet av rapporten och i tillämpliga fall med uppgift om huruvida det finns en risk för att tidsfristerna inte kan hållas,

        3. verktyg som ska användas och identifiering av den funktion som ansvarar för att genomföra åtgärderna, med angivande av om verktygen och funktionerna är interna eller externa,

        4. en beskrivning av hur de förändringar som planeras i åtgärderna påverkar den finansiella entitetens budgetmedel, personalresurser och materiella resurser, inklusive resurser som avsatts för genomförandet av eventuella korrigerande åtgärder,

        5. information om processen för att informera den behöriga myndigheten, i relevanta fall,

        6. om de identifierade svagheterna, bristerna eller luckorna inte är föremål för korrigerande åtgärder, en detaljerad beskrivning av de kriterier som används för att analysera effekterna av dessa svagheter, brister eller luckor, för att utvärdera den relaterade kvarstående IKT-risken och för att acceptera den relaterade kvarstående risken.

      9. Information om planerad vidareutveckling av IKT-riskhanteringsramen.

      10. Slutsatser från översynen av IKT-riskhanteringsramen.

      11. Information om tidigare översyner, inklusive

        1. en förteckning över tidigare gjorda översyner,

        2. i tillämpliga fall, en lägesrapport om genomförandet av de korrigerande åtgärder som identifierades i den senaste rapporten,

        3. om de föreslagna korrigerande åtgärderna i tidigare översyner har visat sig vara ineffektiva eller har inneburit oväntade utmaningar, en beskrivning av hur dessa korrigerande åtgärder skulle kunna förbättras eller av dessa oväntade utmaningar.

      12. Informationskällor som använts vid utarbetandet av rapporten, inklusive

        1. för andra finansiella entiteter än mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. enligt artikel 6.6 i förordning (EU) 2022/2554, resultaten av internrevisioner,

        2. resultaten av bedömningar av efterlevnaden,

        3. resultaten av testning av digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott., och i tillämpliga fall resultaten av avancerad testning, baserad på hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten., av IKT-verktyg, IKT-system och IKT-processer,

        4. externa källor.

    2. Vid tillämpning av led c ska rapporten, om översynen initierades till följd av tillsynsinstruktioner eller slutsatser från relevanta testningsprocesser för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. eller revisionsprocesser, innehålla uttryckliga hänvisningar till sådana instruktioner eller slutsatser, vilket gör det möjligt att identifiera skälet till att översynen initierades. Om översynen initierades med anledning av IKT-relaterade incidenter ska rapporten innehålla en förteckning över alla IKT-relaterade incidenter med en analys av grundorsaken till respektive incident.

    3. Vid tillämpning av led f ska beskrivningen innehålla en analys av förändringarnas inverkan på den finansiella entitetens strategi för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott., på den finansiella entitetens interna IKT-kontrollram och på den finansiella entitetens styrning av IKT-riskhantering.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod