Art. 35 Data-, system- och nätverkssäkerhet | RTS on ICT risk management framework | DORA

De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska, som en del av sina system, protokoll och verktyg, utveckla och genomföra skyddsåtgärder som säkerställer nätverkens säkerhet mot intrång och missbruk av uppgifter och som bevarar uppgifters tillgänglighet, äkthet, integritet och konfidentialitet. I synnerhet ska finansiella entiteter, med beaktande av den klassificering som avses i artikel 30.1 i denna förordning, fastställa allt av följande:

Identifiering och genomförande av åtgärder för att skydda uppgifter i bruk, under överföring och i vila.
Identifiering och genomförande av säkerhetsåtgärder avseende användning av programvara, datalagringsmedier, system och slutpunktsenheter som överför och lagrar den finansiella entitetens uppgifter.
Identifiering och genomförande av åtgärder för att förhindra och upptäcka obehöriga anslutningar till den finansiella entitetens nätverk, och för att säkra nätverkstrafiken mellan den finansiella entitetens interna nätverk och internet och andra externa anslutningar.
Identifiering och genomförande av åtgärder som säkerställer tillgänglighet, äkthet, integritet och konfidentialitet för uppgifter under överföring i nätverk.
En process för att på ett säkert sätt radera uppgifter som finns i lokalerna, eller som lagras externt, och som den finansiella entiteten inte längre behöver samla in eller lagra.
En process för att på ett säkert sätt bortskaffa eller obrukbargöra datalagringsenheter som finns i lokalerna, eller datalagringsenheter som lagras externt, vilka innehåller konfidentiell information.
Identifiering och genomförande av åtgärder för att säkerställa att distansarbete och användning av privata slutpunktsenheter inte negativt påverkar den finansiella entitetens förmåga att utföra sin kritiska verksamhet på ett adekvat, snabbt och säkert sätt.