Artikel 31 IKT-riskhantering

1. Ett fastställande av risktoleransnivåerna för IKT-risker, i enlighet med den finansiella entitetens riskbenägenhet.

2. Identifiering och bedömning av de IKT-risker som den finansiella entiteten är exponerad för.

3. Specificering av begränsningsstrategier för åtminstone de IKT-risker som inte ligger inom den finansiella entitetens risktoleransnivåer.

4. Övervakning av effektiviteten hos de begränsningsstrategier som avses i led c.

5. Identifiering och bedömning av eventuella IKT-risker och informationssäkerhetsrisker till följd av större förändringar i IKT-system eller IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., processer eller förfaranden, och från resultat av IKT-säkerhetstester och efter en allvarlig IKT-relaterad incidenten IKT-relaterad incident som har stor negativ inverkan på nätverks- och informationssystem som stöder den finansiella entitetens kritiska eller viktiga funktioner..

De finansiella entiteter som avses i punkt 1 ska regelbundet genomföra och dokumentera IKT-riskbedömningen i proportion till de finansiella entiteternas IKT-riskprofil.

De finansiella entiteter som avses i punkt 1 ska kontinuerligt övervaka hot och sårbarheter som är relevanta för deras kritiska eller viktiga funktioner, och informationstillgångar och IKT-tillgångar, och ska regelbundet se över de riskscenarier som berör dessa kritiska eller viktiga funktioner.

De finansiella entiteter som avses i punkt 1 ska fastställa varningströskelvärden och kriterier för att utlösa och initiera processer för hantering av IKT-relaterade incidenter.