Hoppa direkt till innehåll
DORA
Blog

Artikel 13 - Lärande och utveckling

  1. Finansiella entiteter ska ha lämplig kapacitet och personal för att samla in information om sårbarheter och cyberhot, IKT-relaterade incidenter, särskilt cyberangrepp, och analysera vilken inverkan de kan förmodas ha på den digitala operativa motståndskraften.

  2. Finansiella entiteter ska införa efterhandsöversyner av IKT-relaterade incidenter efter det att en allvarlig IKT-relaterad incident medför ett avbrott i kärnverksamheten, så att orsakerna till avbrotten kan analyseras och nödvändiga förbättringar av IKT-verksamheten eller i den IKT-kontinuitetspolicy som avses i artikel 11 identifieras.

    Andra finansiella entiteter än mikroföretag ska på begäran till de behöriga myndigheterna meddela vilka ändringar som genomfördes efter de efterhandsöversyner av IKT-relaterade incidenter som avses i första stycket.

    De efterhandsöversyner av IKT-relaterade incidenter som avses i första stycket ska fastställa om de fastställda förfarandena följdes och om de åtgärder som vidtogs var effektiva, bl.a. när det gäller

    1. svarstiden för att reagera på säkerhetsvarningar och fastställa konsekvenserna av IKT-relaterade incidenter och deras allvarlighetsgrad,
    2. kvalitet och snabbhet i utförandet av kriminaltekniska analyser, om så är lämpligt,
    3. incidenteskaleringens effektivitet inom den finansiella entiteten,
    4. effektiviteten i intern och extern kommunikation.

  3. Lärdomar av den testning av digital operativ motståndskraft som har utförts i enlighet med artiklarna 26 och 27 och av verkliga IKT-relaterade incidenter, särskilt cyberangrepp, samt utmaningar i samband med aktivering av IKT-kontinuitetsplaner och åtgärds- och återställningsplaner avseende IKT och relevant information som har utväxlats med motparter och bedömts under tillsynsgranskningar, ska införlivas fortlöpande i IKT-riskbedömningsprocessen. Dessa resultat ska utgöra en grund för lämpliga översyner av relevanta delar i den IKT-riskhanteringsram som avses i artikel 6.1.

  4. Finansiella entiteter ska övervaka effektiviteten i genomförandet av den strategi för digital operativ motståndskraft som anges i artikel 6.8. De ska kartlägga IKT-riskens utveckling över tid, analysera IKT-relaterade incidenters frekvens, typ, omfattning och utveckling, särskilt cyberangrepp och deras mönster, i syfte att förstå graden av IKT-riskexponering, särskilt när det gäller kritiska eller viktiga funktioner, och öka den finansiella entitetens cybermognad och cyberberedskap.

  5. Senior IKT-personal ska minst en gång per år rapportera till ledningsorganet om de resultat som avses i punkt 3 och lägga fram rekommendationer.

  6. Finansiella entiteter ska utarbeta program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraft som obligatoriska moduler i sina personalutbildningsprogram. Dessa program och utbildningar ska gälla för alla anställda och personer i ledande ställning, och deras komplexitet ska motsvara behörigheten för personens roll. När så är lämpligt ska finansiella entiteter också inkludera tredjepartsleverantörer av IKT-tjänster i sina relevanta utbildningar, i enlighet med artikel 30.2 i.

  7. Andra finansiella entiteter än mikroföretag ska kontinuerligt övervaka relevant teknisk utveckling, även i syfte att förstå vilka konsekvenser införandet av sådan ny teknik kan få för IKT-säkerhetskraven och den digitala operativa motståndskraften. De ska hålla sig uppdaterade om de senaste IKT-riskhanteringsprocesserna för att effektivt bekämpa nuvarande eller nya former av cyberangrepp.