Artikel 5 - Styrning och organisation

1. Finansiella entiteter ska ha en intern styrnings- och kontrollram som säkerställer en effektiv och ansvarsfull hantering av IKT-risk i enlighet med artikel 6.4, i syfte att åstadkomma en hög nivå av digital operativ motståndskraft.

2. Den finansiella entitetens ledningsorgan ska fastställa, godkänna, övervaka och ansvara för genomförandet av alla arrangemang som rör den IKT-riskhanteringsram som avses i artikel 6.1.

   Vid tillämpning av det första stycket ska ledningsorganet

   1. ha det slutliga ansvaret för att hantera den finansiella entitetens IKT-risk
   2. införa strategier som syftar till att säkerställa bibehållandet av höga standarder för tillgänglighet, äkthet, integritet och konfidentialitet för data,
   3. fastställa tydliga roller och ansvarsområden för alla IKT-relaterade funktioner och inrätta lämpliga styrformer för att säkerställa kommunikation, samarbete och samordning på ett effektivt och skyndsamt sätt mellan dessa funktioner,
   4. ha det övergripande ansvaret för att fastställa och godkänna strategin för digital operativ motståndskraft enligt artikel 6.8, inbegripet fastställandet av en lämplig risktoleransnivå för IKT-risk för den finansiella entiteten, enligt vad som avses i artikel 6.8 b,
   5. godkänna, övervaka och regelbundet se över genomförandet av den IKT-kontinuitetspolicy och de åtgärds- och återställningsplaner avseende IKT för den finansiella entiteten som avses i artikel 11.1 respektive 11.3, vilka kan antas som särskilda specifika planer och utgöra integrerade delar av den finansiella entitetens övergripande kontinuitetsplan och åtgärds- och återställningsplan,
   6. godkänna och regelbundet se över den finansiella entitetens IKT-internrevisionsplaner, IKT-revisioner och väsentliga ändringar av dessa,
   7. anslå och regelbundet se över den lämpliga budgeten för att uppfylla den finansiella entitetens behov av digital operativ motståndskraft när det gäller alla typer av resurser, inbegripet relevanta program för medvetenhet om IKT-säkerhet och sådan utbildning om digital operativ motståndskraft som avses i artikel 13.6 och IKT-färdigheter för all personal,
   8. godkänna och regelbundet se över den finansiella entitetens riktlinjer för arrangemang vad gäller användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster,
      1. på verksamhetsnivå etablera rapporteringskanaler som gör det möjligt att vederbörligen informeras om
      2. arrangemang som har ingåtts med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster,
      3. alla relevanta planerade väsentliga ändringar som rör tredjepartsleverantörerna av IKT-tjänster,
      4. den potentiella effekten av sådana ändringar på de kritiska eller viktiga funktioner som omfattas av dessa arrangemang, inbegripet en sammanfattning av riskanalysen för att bedöma effekterna av dessa ändringar och åtminstone allvarliga IKT-relaterade incidenter och deras inverkan liksom åtgärder, återställande och korrigerande åtgärder.

3. Andra finansiella entiteter än mikroföretag ska inrätta en funktion för att övervaka de arrangemang som har ingåtts med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster, eller utse en medlem av den verkställande ledningen som ansvarig för att övervaka den åtföljande riskexponeringen och relevant dokumentation.

Mikroföretag

Mikroföretag undantas från kravet på att inrätta en funktion eller utse en medlem av den verkställande ledningen för övervakning av de aktuella arrangemangen.

4. Medlemmarna i den finansiella entitetens ledningsorgan ska aktivt upprätthålla tillräckliga och aktuella kunskaper och färdigheter för att förstå och bedöma IKT-risk och deras inverkan på den finansiella entitetens verksamhet, inbegripet genom att regelbundet genomgå särskild utbildning som står i proportion till den IKT-risk som hanteras.