Art. 28 Styrning och organisation | RTS on ICT risk management framework | DORA

1. De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska ha en intern styrnings- och kontrollram som säkerställer en ändamålsenlig och ansvarsfull hantering av IKT-risker i syfte att åstadkomma en hög nivå av digital operativ motståndskraft.
1. De finansiella entiteter som avses i punkt 1 ska, som en del av sin förenklade IKT-riskhanteringsram, säkerställa att deras ledningsorgan
  1. bär det övergripande ansvaret för att säkerställa att den förenklade IKT-riskhanteringsramen gör det möjligt att uppnå den finansiella entitetens affärsstrategi i enlighet med den finansiella entitetens riskbenägenhet, och säkerställer att IKT-risken beaktas i detta sammanhang,
  2. fastställer tydliga roller och ansvarsområden för alla IKT-relaterade uppgifter,
  3. fastställer informationssäkerhetsmål och IKT-krav,
  4. godkänner, övervakar och regelbundet ser över
    klassificeringen av den finansiella enhetens informationstillgångar som avses i artikel 30.1 i denna förordning, förteckningen över identifierade huvudrisker samt verksamhetskonsekvensanalysen och tillhörande policyer,
    den finansiella entitetens kontinuitetsplaner och de åtgärds- och återställningsåtgärder som avses i artikel 16.1 f i förordning (EU) 2022/2554,
  5. minst en gång per år anslår och ser över den budget som krävs för att uppfylla den finansiella entitetens behov av digital operativ motståndskraft när det gäller alla typer av resurser, inbegripet relevanta program för medvetenhet om IKT-säkerhet och utbildning i digital operativ motståndskraft samt IKT-färdigheter för all personal,
  6. specificerar och genomför de policyer och åtgärder som anges i kapitlen I, II och III i denna avdelning för att identifiera, bedöma och hantera den IKT-risk som den finansiella entiteten är exponerad för,
  7. identifierar och genomför förfaranden, IKT-protokoll och verktyg som är nödvändiga för att skydda alla informationstillgångar och IKT-tillgångar,
  8. säkerställer att den finansiella entitetens personal hålls uppdaterad med tillräckliga kunskaper och färdigheter för att förstå och bedöma IKT-risker och deras inverkan på den finansiella entitetens verksamhet, i proportion till den IKT-risk som hanteras,
  9. upprättar rapporteringsarrangemang, inbegripet hur ofta, i vilken form och med vilket innehåll rapportering till ledningsorganet om informationssäkerheten och den digitala operativa motståndskraften ska ske.
1. De finansiella entiteter som avses i punkt 1 får, i enlighet med unionsrätten och den nationella rätten på området, utkontraktera uppgiften att kontrollera efterlevnaden av IKT-riskhanteringskraven på koncerninterna IKT-leverantörer eller tredjepartsleverantörer av IKT-tjänster. Vid sådan utkontraktering ska de finansiella entiteterna förbli fullt ansvariga för kontrollen av efterlevnaden av IKT-riskhanteringskraven.
1. De finansiella entiteter som avses i punkt 1 ska säkerställa lämplig åtskillnad av och oberoende för kontrollfunktioner och interna revisionsfunktioner.
1. De finansiella entiteter som avses i punkt 1 ska säkerställa att deras förenklade IKT-riskhanteringsram är föremål för en internrevision av revisorer, i linje med de finansiella entiteternas revisionsplan. Revisorerna ska ha tillräckliga kunskaper och färdigheter och tillräcklig expertis om IKT-risker och ska vara oberoende. IKT-revisionernas frekvens och inriktning ska stå i proportion till den finansiella entitetens IKT-risk.
1. På grundval av resultatet av den revision som avses i punkt 5 ska de finansiella entiteter som avses i punkt 1 säkerställa att kritiska IKT-revisionsresultat verifieras och åtgärdas skyndsamt.