Art. 4 IKT-system och tillhörande säkerhetsarrangemang | RTS on notification of crypto-asset service provision | MiCA

Vid tillämpning av artikel 60.7 c i förordning (EU) 2023/1114 ska den anmälande enheten lämna följande uppgifter till den behöriga myndigheten:

Teknisk dokumentation av IKT-systemen, i tillämpliga fall DLT-infrastrukturen samt säkerhetsarrangemangen, inklusive en beskrivning av de arrangemang och de IKT- och personalresurser som används för att uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554(⁸)Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj)., inklusive följande:
1. En beskrivning av hur den anmälande enheten säkerställer en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som en del av dess övergripande riskhanteringssystem, inklusive en detaljerad beskrivning av IKT-system, IKT-protokoll och IKT-verktyg och av hur den anmälande enhetens förfaranden, policyer och system värnar uppgifternas säkerhet, integritet, tillgänglighet, äkthet och konfidentialitet i enlighet med förordningarna (EU) 2022/2554 och (EU) 2016/679.
2. En identifiering av de IKT-tjänster som stöder kritiska eller viktiga funktioner och som utvecklats eller underhålls av den anmälande enheten samt av dem som tillhandahålls av tredjepartsleverantörer av tjänster, och en beskrivning av sådana avtalsarrangemang och hur dessa arrangemang är förenliga med artikel 73 i förordning (EU) 2023/1114 och kapitel V i förordning (EU) 2022/2554.
3. En beskrivning av den anmälande enhetens förfaranden, policyer, arrangemang och system för säkerhet och incidenthantering.
I förekommande fall en beskrivning av en cybersäkerhetsrevision som utförts av en tredjepartsrevisor för cybersäkerhet med tillräcklig erfarenhet i enlighet med kommissionens delegerade förordning om tekniska standarder i enlighet med artikel 26.11 fjärde stycket i förordning (EU) 2022/2554 och som helst bör omfatta följande revisioner eller tester som utförts av externa oberoende parter:
1. Organisatoriska arrangemang för cybersäkerhet, fysisk säkerhet och en säker livscykel i samband med programvaruutveckling.
2. Sårbarhetsbedömningar och nätverkssäkerhetsbedömningar.
3. Konfigurationsgranskningar av IKT-tillgångar som stöder kritiska och viktiga funktioner enligt definitionen i artikel 3.22 i förordning (EU) 2022/2554.
4. Penetrationstester av IKT-tillgångar som stöder kritiska och viktiga funktioner enligt definitionen i artikel 3.17 i förordning (EU) 2022/2554, i enlighet med samtliga följande revisionstester:
  
  ”Svart låda”: Revisorn har ingen annan information än de IP-adresser och webbadresser som är associerade med det granskade målet. Denna fas föregås i allmänhet av upptäckten av information och identifieringen av målet genom förfrågan via DNS-tjänster, skanning av öppna portar, upptäckt av närvaron av filtreringsverktyg.
  
  Fasen ”grå låda”: Revisorerna har kunskap om en standardanvändare av informationssystemet (legitim autentisering, ”standardmässig” arbetsstation). Identifierarna kan tillhöra olika användarprofiler för att testa olika åtkomstnivåer.
  
  Fasen ”vit låda”: Revisorerna har så mycket teknisk information som möjligt (arkitektur, källkod, telefonkontakter, identifierare osv.) innan analysen inleds och även tillgång till tekniska kontakter med anknytning till målet.
5. Om den anmälande enheten använder och/eller utvecklar smarta kontrakt, en granskning av deras källkoder med avseende på cybersäkerhet.
En beskrivning av eventuella genomförda revisioner av IKT-systemen, inbegripet DLT-infrastruktur och säkerhetsarrangemang som har använts.
En beskrivning av den relevanta information som avses i leden a och b på ett icke-tekniskt språk.