Source: OJ L, 2024/1774, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Artikel 8 Strategier och förfaranden för IKT-verksamhet
Som en del av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 ska finansiella entiteter utarbeta, dokumentera och genomföra strategier och förfaranden för hantering av IKT-verksamheten. Dessa strategier och förfaranden ska specificera hur finansiella entiteter driver, övervakar, kontrollerar och återställer sina IKT-tillgångar, inbegripet dokumentation av IKT-verksamhet.
De strategier och förfaranden för IKT-verksamhet som avses i punkt 1 ska innehålla allt av följande:
En beskrivning av IKT-tillgångarna, inklusive
krav avseende säker installation, säkert underhåll och säker konfiguration och avinstallation av ett IKT-system,
krav avseende hantering av informationstillgångar som används av IKT-tillgångar, däribland deras bearbetning och hantering och både automatiserad och manuell sådan,
krav avseende identifiering och kontroll av äldre IKT-system.
Kontroll och övervakning av IKT-system, inklusive
krav på säkerhetskopiering och återställning av IKT-system,
krav på schemaläggning, med beaktande av ömsesidiga beroenden mellan IKT-systemen,
protokoll för revisionsloggning och systemlogginformation,
krav för att säkerställa att utförandet av internrevision och annan testning minimerar störningar i affärsverksamheten,
krav på separering av IKT-produktionsmiljöer från utvecklingsmiljöer, testmiljöer och andra miljöer som inte är produktionsmiljöer,
krav på att genomföra utveckling och testning i miljöer som är åtskilda från produktionsmiljön,
krav på att genomföra utveckling och testning i produktionsmiljöer.
Felhantering avseende IKT-system, inklusive
förfaranden och protokoll för felhantering,
kontakter för support och eskalering, inklusive externa supportkontakter i händelse av oväntade operativa eller tekniska problem,
förfaranden för omstart, återladdning och återställning av IKT-system för användning i händelse av avbrott i IKT-system.
Vid tillämpning av led b v ska separeringen beakta alla komponenter i miljön, inbegripet konton, uppgifter eller anslutningar, enligt artikel 13.1 a.
Vid tillämpning av led b vii ska de strategier och förfaranden som avses i punkt 1 föreskriva att de fall då testning utförs i en produktionsmiljö är tydligt identifierade, motiverade, gäller begränsade tidsperioder och är godkända av den relevanta funktionen i enlighet med artikel 16.6. Finansiella entiteter ska säkerställa tillgänglighet, konfidentialitet, integritet och äkthet för IKT-system och produktionsdata under utveckling och testning i produktionsmiljön.
Relevant recitals
Skäl 10 Production and development environment separation
En säkerhetsstrategi för IKT-verksamhet och IKT-relaterade strategier, förfaranden, protokoll och verktyg är nödvändiga för att säkerställa uppgifternas konfidentialitet, integritet och tillgänglighet. En central aspekt är den strikta separeringen av IKT-produktionsmiljöer från de miljöer där IKT-system utvecklas och testas eller andra miljöer som inte är produktionsmiljöer. Denna separering bör fungera som en viktig IKT-säkerhetsåtgärd mot oavsiktlig och obehörig åtkomst till, ändringar av och radering av uppgifter i produktionsmiljön, vilket skulle kunna leda till allvarliga avbrott i affärsverksamheten för de finansiella entiteter som avses i avdelning II i denna förordning. Med tanke på nuvarande praxis för utveckling av IKT-system bör finansiella entiteter dock i undantagsfall tillåtas att testa i produktionsmiljöer, förutsatt att de motiverar sådan testning och erhåller det godkännande som krävs.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.