Art. 3 IKT-riskhantering | RTS on ICT risk management framework | DORA

Finansiella entiteter ska utarbeta, dokumentera och genomföra strategier och förfaranden för IKT-riskhantering som ska innehålla allt av följande:
1. En indikation på godkännandet av risktoleransnivån för IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. enligt artikel 6.8 b i förordning (EU) 2022/2554.
2. Ett förfarande och en metod för att genomföra IKT-riskbedömningen, som identifierar
  
  sårbarheter och hot som berör eller kan beröra de affärsfunktioner som stöds och de IKT-system och IKT-tillgångar som stöder dessa funktioner,
  
  kvantitativa eller kvalitativa indikatorer för att mäta effekten av och sannolikheten för de sårbarheter och hot som avses i led i.
3. Förfarandet för att identifiera, genomföra och dokumentera IKT-riskhanteringsåtgärder för de IKT-risker som identifierats och bedömts, inbegripet fastställandet av IKT-riskhanteringsåtgärder som är nödvändiga för att IKT-risken ska ligga inom den risktoleransnivå som avses i led a.
4. När det gäller de kvarstående IKT-risker som fortfarande föreligger efter genomförandet av de IKT-riskhanteringsåtgärder som avses i led c:
  
  Bestämmelser om identifiering av dessa kvarstående IKT-risker.
  
  Fördelning av roller och ansvarsområden avseende
  
  accepterandet av de kvarstående IKT-risker som överskrider den finansiella entitetens risktoleransnivå enligt led a,
  
  den översynsprocess som avses i led iv i detta led d.
  
  Utarbetandet av en förteckning av de accepterade kvarstående IKT-riskerna, inklusive en motivering till varför de accepteras.
  
  Bestämmelser om översyn av de accepterade kvarstående IKT-riskerna minst en gång per år, inbegripet
  
  identifiering av eventuella förändringar av de kvarstående IKT-riskerna,
  
  bedömning av tillgängliga begränsningsåtgärder,
  
  bedömning av huruvida de skäl som motiverar accepterandet av kvarstående IKT-risker fortfarande är giltiga och tillämpliga vid tidpunkten för översynen.
5. Bestämmelser om övervakning av
  
  eventuella förändringar i IKT-riskbilden och cyberhotbilden,
  
  interna och externa sårbarheter och hot,
  
  den finansiella entitetens IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön., vilket möjliggör snabb upptäckt av förändringar som kan beröra dess IKT-riskprofil.
6. Bestämmelser om en process för att säkerställa att förändringar av den finansiella entitetens affärsstrategi och strategi för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. beaktas.
Vid tillämpning av första stycket c ska det förfarande som avses i det ledet säkerställa
1. övervakning av ändamålsenligheten hos de IKT-riskhanteringsåtgärder som genomförts,
2. bedömning av huruvida den finansiella entitetens fastställda risktoleransnivåer har uppnåtts,
3. bedömning av huruvida den finansiella entiteten har vidtagit åtgärder för att vid behov korrigera eller förbättra dessa åtgärder.