Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: SV

Artikel 41 Formatet för och innehållet i rapporten om översynen av den förenklade IKT-riskhanteringsramen

    1. De finansiella entiteter som avses i artikel 16.1 i förordning (EU) 2022/2554 ska lämna den rapport om översynen av IKT-riskhanteringsramen som avses i punkt 2 i den artikeln i ett sökbart elektroniskt format.

    1. Den rapport som avses i punkt 1 ska innehålla all följande information:

      1. Ett inledande avsnitt som innehåller

        1. en beskrivning av bakgrunden till rapporten med avseende på karaktären på, omfattningen av och komplexiteten i den finansiella entitetens tjänster, verksamhet och insatser, den finansiella entitetens organisation, identifierade kritiska funktioner, strategi, större pågående projekt eller aktiviteter och relationer, och den finansiella entitetens beroende av interna och utkontrakterade IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och IKT-system eller de konsekvenser som en total förlust eller allvarlig försämring av sådana system skulle få för kritiska eller viktiga funktioner och marknadseffektivitet,

        2. en sammanfattning på verkställande nivå av den aktuella IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. och IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. för närmare tid som identifierats, hotbilden, den bedömda effektiviteten av dess kontroller och den finansiella entitetens säkerhetsstatus,

        3. information om det rapporterade området,

        4. en sammanfattning av de större förändringarna i IKT-riskhanteringsramen sedan den föregående rapporten,

        5. en sammanfattning och beskrivning av effekterna av de större förändringarna i den förenklade IKT-riskhanteringsramen sedan den föregående rapporten.

      2. I tillämpliga fall, datum för godkännande av rapporten av den finansiella entitetens ledningsorganett ledningsorgan enligt definitionen i artikel 4.1.36 i direktiv 2014/65/EU, artikel 3.1.7 i direktiv 2013/36/EU, artikel 2.1 s i Europaparlamentets och rådets direktiv 2009/65/EG(31) Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (EUT L 302, 17.11.2009, s. 32)., artikel 2.1.45 i förordning (EU) nr 909/2014, artikel 3.1.20 i förordning (EU) 2016/1011 och i de relevanta bestämmelserna i förordningen om kryptotillgångar, eller motsvarande personer som i praktiken leder entiteten eller har nyckelfunktioner i enlighet med relevant unionsrätt eller nationell rätt..

      3. En beskrivning av skälen till översynen, inklusive

        1. om översynen har initierats efter tillsynsinstruktioner, bevisning för sådana instruktioner,

        2. om översynen har initierats efter IKT-relaterade incidenter, en förteckning över alla dessa IKT-relaterade incidenter med tillhörande analys av grundorsaken till respektive incident.

      4. Start- och slutdatum för översynsperioden.

      5. Den person som ansvarar för översynen.

      6. En sammanfattning av resultaten och en självutvärdering av allvarlighetsgraden hos de svagheter, brister och luckor som identifierats i IKT-riskhanteringsramen för översynsperioden, inklusive en detaljerad analys av dessa.

      7. Identifierade åtgärder för att avhjälpa svagheter, brister och luckor i den förenklade IKT-riskhanteringsramen, och förväntat datum för genomförande av dessa åtgärder, inbegripet uppföljning av svagheter, brister och luckor som identifierats i föregående rapporter, om dessa svagheter, brister och luckor ännu inte har avhjälpts.

      8. Övergripande slutsatser om översynen av den förenklade IKT-riskhanteringsramen, inklusive ytterligare planerad utveckling.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod