Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 28 Styrning och organisation

    1. De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska ha en intern styrnings- och kontrollram som säkerställer en ändamålsenlig och ansvarsfull hantering av IKT-risker i syfte att åstadkomma en hög nivå av digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott..

    1. De finansiella entiteter som avses i punkt 1 ska, som en del av sin förenklade IKT-riskhanteringsram, säkerställa att deras ledningsorganett ledningsorgan enligt definitionen i artikel 4.1.36 i direktiv 2014/65/EU, artikel 3.1.7 i direktiv 2013/36/EU, artikel 2.1 s i Europaparlamentets och rådets direktiv 2009/65/EG(31) Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (EUT L 302, 17.11.2009, s. 32)., artikel 2.1.45 i förordning (EU) nr 909/2014, artikel 3.1.20 i förordning (EU) 2016/1011 och i de relevanta bestämmelserna i förordningen om kryptotillgångar, eller motsvarande personer som i praktiken leder entiteten eller har nyckelfunktioner i enlighet med relevant unionsrätt eller nationell rätt.

      1. bär det övergripande ansvaret för att säkerställa att den förenklade IKT-riskhanteringsramen gör det möjligt att uppnå den finansiella entitetens affärsstrategi i enlighet med den finansiella entitetens riskbenägenhet, och säkerställer att IKT-risken beaktas i detta sammanhang,

      2. fastställer tydliga roller och ansvarsområden för alla IKT-relaterade uppgifter,

      3. fastställer informationssäkerhetsmål och IKT-krav,

      4. godkänner, övervakar och regelbundet ser över

        1. klassificeringen av den finansiella enhetens informationstillgångar som avses i artikel 30.1 i denna förordning, förteckningen över identifierade huvudrisker samt verksamhetskonsekvensanalysen och tillhörande policyer,

        2. den finansiella entitetens kontinuitetsplaner och de åtgärds- och återställningsåtgärder som avses i artikel 16.1 f i förordning (EU) 2022/2554,

      5. minst en gång per år anslår och ser över den budget som krävs för att uppfylla den finansiella entitetens behov av digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. när det gäller alla typer av resurser, inbegripet relevanta program för medvetenhet om IKT-säkerhet och utbildning i digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. samt IKT-färdigheter för all personal,

      6. specificerar och genomför de policyer och åtgärder som anges i kapitlen I, II och III i denna avdelning för att identifiera, bedöma och hantera den IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. som den finansiella entiteten är exponerad för,

      7. identifierar och genomför förfaranden, IKT-protokoll och verktyg som är nödvändiga för att skydda alla informationstillgångar och IKT-tillgångar,

      8. säkerställer att den finansiella entitetens personal hålls uppdaterad med tillräckliga kunskaper och färdigheter för att förstå och bedöma IKT-risker och deras inverkan på den finansiella entitetens verksamhet, i proportion till den IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. som hanteras,

      9. upprättar rapporteringsarrangemang, inbegripet hur ofta, i vilken form och med vilket innehåll rapportering till ledningsorganet om informationssäkerheten och den digitala operativa motståndskraften ska ske.

    1. De finansiella entiteter som avses i punkt 1 får, i enlighet med unionsrätten och den nationella rätten på området, utkontraktera uppgiften att kontrollera efterlevnaden av IKT-riskhanteringskraven på koncerninterna IKT-leverantörer eller tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.. Vid sådan utkontraktering ska de finansiella entiteterna förbli fullt ansvariga för kontrollen av efterlevnaden av IKT-riskhanteringskraven.

    1. De finansiella entiteter som avses i punkt 1 ska säkerställa lämplig åtskillnad av och oberoende för kontrollfunktioner och interna revisionsfunktioner.

    1. De finansiella entiteter som avses i punkt 1 ska säkerställa att deras förenklade IKT-riskhanteringsram är föremål för en internrevision av revisorer, i linje med de finansiella entiteternas revisionsplan. Revisorerna ska ha tillräckliga kunskaper och färdigheter och tillräcklig expertis om IKT-risker och ska vara oberoende. IKT-revisionernas frekvens och inriktning ska stå i proportion till den finansiella entitetens IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön..

    1. På grundval av resultatet av den revision som avses i punkt 5 ska de finansiella entiteter som avses i punkt 1 säkerställa att kritiska IKT-revisionsresultat verifieras och åtgärdas skyndsamt.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod