Art. 39 Komponenter i IKT-kontinuitetsplanen | RTS on ICT risk management framework | DORA

1. De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska utarbeta sina IKT-kontinuitetsplaner med beaktande av resultaten av analysen av deras exponering för och potentiella effekter av allvarliga störningar i verksamheten och scenarier som deras IKT-tillgångar som stöder kritiska eller viktiga funktioner kan utsättas för, inbegripet ett scenario för cyberangreppen skadlig IKT-relaterad incident orsakad av ett försök av en fientlig aktör att förstöra, exponera, ändra, deaktivera, stjäla eller få obehörig åtkomst till eller obehörigt utnyttja en tillgång..
1. De IKT-kontinuitetsplaner som avses i punkt 1 ska
  1. godkännas av den finansiella entitetens ledningsorganett ledningsorgan enligt definitionen i artikel 4.1.36 i direktiv 2014/65/EU, artikel 3.1.7 i direktiv 2013/36/EU, artikel 2.1 s i Europaparlamentets och rådets direktiv 2009/65/EG(31) Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (EUT L 302, 17.11.2009, s. 32)., artikel 2.1.45 i förordning (EU) nr 909/2014, artikel 3.1.20 i förordning (EU) 2016/1011 och i de relevanta bestämmelserna i förordningen om kryptotillgångar, eller motsvarande personer som i praktiken leder entiteten eller har nyckelfunktioner i enlighet med relevant unionsrätt eller nationell rätt.,
  2. vara dokumenterade och lättillgängliga i händelse av en nödsituation eller kris,
  3. avsätta tillräckliga resurser för deras genomförande,
  4. fastställa planerade återställningsnivåer och tidsramar för återställning och återupptagande av funktioner och viktiga interna och externa beroenden, inklusive tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.,
  5. identifiera de förhållanden som kan föranleda aktivering av IKT-kontinuitetsplanerna och vilka åtgärder som ska vidtas för att säkerställa tillgänglighet och kontinuitet för och återställning av de finansiella entiteternas IKT-tillgångar som stöder kritiska eller viktiga funktioner,
  6. identifiera åtgärder för återskapande och återställning av kritiska eller viktiga affärsfunktioner, stödprocesser och informationstillgångar och deras ömsesidiga beroenden, för att undvika negativa effekter på de finansiella entiteternas funktion,
  7. identifiera förfaranden och åtgärder för säkerhetskopiering som anger omfattningen av de uppgifter som ska säkerhetskopieras och den lägsta frekvensen för säkerhetskopieringen, baserat på hur kritisk den funktion som använder dessa uppgifter är,
  8. överväga alternativ där återställning kanske inte är genomförbar på kort sikt på grund av kostnader, risker, logistik eller oförutsedda omständigheter,
  9. specificera interna och externa kommunikationsarrangemang, inklusive eskaleringsplaner,
  10. uppdateras i linje med lärdomar från incidenter, tester, nya risker och hot som identifierats, ändrade återställningsmål, större förändringar av den finansiella entitetens organisation och av de IKT-tillgångar som stöder kritiska funktioner eller affärsfunktioner.
2. Vid tillämpning av led f ska de åtgärder som avses i det ledet föreskriva begränsning av misslyckanden hos kritiska tredjepartsleverantörer.