Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 3 IKT-riskhantering

  1. Finansiella entiteter ska utarbeta, dokumentera och genomföra strategier och förfaranden för IKT-riskhantering som ska innehålla allt av följande:

    1. En indikation på godkännandet av risktoleransnivån för IKT-risk enligt artikel 6.8 b i förordning (EU) 2022/2554.

    2. Ett förfarande och en metod för att genomföra IKT-riskbedömningen, som identifierar

      1. sårbarheter och hot som berör eller kan beröra de affärsfunktioner som stöds och de IKT-system och IKT-tillgångar som stöder dessa funktioner,

      2. kvantitativa eller kvalitativa indikatorer för att mäta effekten av och sannolikheten för de sårbarheter och hot som avses i led i.

    3. Förfarandet för att identifiera, genomföra och dokumentera IKT-riskhanteringsåtgärder för de IKT-risker som identifierats och bedömts, inbegripet fastställandet av IKT-riskhanteringsåtgärder som är nödvändiga för att IKT-risken ska ligga inom den risktoleransnivå som avses i led a.

    4. När det gäller de kvarstående IKT-risker som fortfarande föreligger efter genomförandet av de IKT-riskhanteringsåtgärder som avses i led c:

      1. Bestämmelser om identifiering av dessa kvarstående IKT-risker.

      2. Fördelning av roller och ansvarsområden avseende

        1. accepterandet av de kvarstående IKT-risker som överskrider den finansiella entitetens risktoleransnivå enligt led a,

        2. den översynsprocess som avses i led iv i detta led d.

      3. Utarbetandet av en förteckning av de accepterade kvarstående IKT-riskerna, inklusive en motivering till varför de accepteras.

      4. Bestämmelser om översyn av de accepterade kvarstående IKT-riskerna minst en gång per år, inbegripet

        1. identifiering av eventuella förändringar av de kvarstående IKT-riskerna,

        2. bedömning av tillgängliga begränsningsåtgärder,

        3. bedömning av huruvida de skäl som motiverar accepterandet av kvarstående IKT-risker fortfarande är giltiga och tillämpliga vid tidpunkten för översynen.

    5. Bestämmelser om övervakning av

      1. eventuella förändringar i IKT-riskbilden och cyberhotbilden,

      2. interna och externa sårbarheter och hot,

      3. den finansiella entitetens IKT-risk, vilket möjliggör snabb upptäckt av förändringar som kan beröra dess IKT-riskprofil.

    6. Bestämmelser om en process för att säkerställa att förändringar av den finansiella entitetens affärsstrategi och strategi för digital operativ motståndskraft beaktas.

  2. Vid tillämpning av första stycket c ska det förfarande som avses i det ledet säkerställa

    1. övervakning av ändamålsenligheten hos de IKT-riskhanteringsåtgärder som genomförts,

    2. bedömning av huruvida den finansiella entitetens fastställda risktoleransnivåer har uppnåtts,

    3. bedömning av huruvida den finansiella entiteten har vidtagit åtgärder för att vid behov korrigera eller förbättra dessa åtgärder.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod