Art. 9 IKT-system och tillhörande säkerhetsarrangemang | RTS on CASP authorisation | MiCA

Vid tillämpning av artikel 62.2 j i förordning (EU) 2023/1114 ska sökande lämna följande uppgifter till den behöriga myndigheten:

Teknisk dokumentation av IKT-systemen, i tillämpliga fall DLT-infrastrukturen samt säkerhetsarrangemangen, inklusive en beskrivning av de arrangemang och de IKT- och personalresurser som används för att uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554(⁹)Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1, ELI: https://eur-lex.europa.eu/eli/reg/2022/2554/oj?locale=sv)., enligt följande:
1. En beskrivning av hur sökanden säkerställer en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som en del av dess övergripande riskhanteringssystem, inklusive en detaljerad beskrivning av IKT-system, IKT-protokoll och IKT-verktyg och av hur sökandens förfaranden, policyer och system värnar uppgifternas säkerhet, integritet, tillgänglighet, äkthet och konfidentialitet i enlighet med förordning (EU) 2022/2554 och förordning (EU) 2016/679.
2. En identifiering av de IKT-tjänster som stöder kritiska eller viktiga funktioner och som utvecklats eller underhålls av sökanden samt de IKT-tjänster som stöder kritiska eller viktiga funktioner som tillhandahålls av tredjepartsleverantörer av tjänster, en beskrivning av sådana avtalsarrangemang (leverantörernas identitet och geografiska läge, beskrivning av de utkontrakterade verksamheterna eller IKT-tjänsterna och deras huvuddrag samt kopior av avtalsarrangemang) och hur dessa arrangemang är förenliga med artikel 73 i förordning (EU) 2023/1114 och kapitel V i förordning (EU) 2022/2554.
3. En beskrivning av sökandens förfaranden, policyer, arrangemang och system för säkerhets- och incidenthantering.
Om möjligt, en beskrivning av en cybersäkerhetsrevision som utförts av en tredjepartsrevisor inom cybersäkerhet som har tillräcklig erfarenhet i enlighet med kommissionens delegerade förordning om tekniska standarder vilken antagits i enlighet med artikel 26.11 fjärde stycket i förordning (EU) 2022/2554 och som helst omfattar följande revisioner eller tester:
1. Organisatorisk cybersäkerhet, fysisk säkerhet och säkra arrangemang för systemutvecklingslivscykeln.
2. Sårbarhetsbedömningar och sårbarhetsskanningar samt nätverkssäkerhetsbedömningar.
3. Konfigurationsgranskningar av IKT-tillgångar som stöder kritiska och viktiga funktioner enligt definitionen i artikel 3.22 i förordning (EU) 2022/2554.
4. Penetrationstester av IKT-tillgångar som stöder kritiska och viktiga funktioner enligt definitionen i artikel 3.17 i förordning (EU) 2022/2554, i enlighet med samtliga följande revisionstester:
  
  Fasen ”Svart låda”: Revisorn har ingen annan information än de IP-adresser och webbadresser som är associerade med det granskade målet. Denna fas föregås i allmänhet av upptäckten av information och identifieringen av målet genom förfrågan via DNS-tjänster, skanning av öppna portar, upptäckt av närvaron av filtreringsverktyg osv.
  
  Fasen ”grå låda”: Revisorerna har kunskap om en standardanvändare av informationssystemet (legitim autentisering, ”standardmässig” arbetsstation osv.). Identifierarna kan tillhöra olika användarprofiler för att testa olika åtkomstnivåer.
  
  Fasen ”vit låda”: Revisorerna har så mycket teknisk information som möjligt (arkitektur, källkod, telefonkontakter, identifierare osv.) innan analysen inleds och även tillgång till tekniska kontakter med anknytning till målet.
5. Om sökanden använder och/eller utvecklar smarta kontrakt, en granskning av deras källkoder med avseende på cybersäkerhet.
En beskrivning av eventuella genomförda revisioner av IKT-systemen, inbegripet DLT-infrastruktur och säkerhetsarrangemang som har använts.
En beskrivning av den relevanta information som avses i leden a och b på ett icke-tekniskt språk.