Artikel 6 - IKT-riskhanteringsram

1. Finansiella entiteter ska ha en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som en del av sitt övergripande riskhanteringssystem och den ska göra det möjligt för dem att snabbt, effektivt och heltäckande hantera IKT-risk och säkerställa en hög nivå av digital operativ motståndskraft.

2. IKT-riskhanteringsramen ska omfatta åtminstone de strategier, riktlinjer, förfaranden, IKT-protokoll och IKT-verktyg som är nödvändiga för att på ett vederbörligt och adekvat sätt skydda alla informations- och IKT-tillgångar, inbegripet datorprogramvara, datormaskinvara och servrar, och skydda alla relevanta fysiska komponenter och infrastrukturer, såsom lokaler, datacentraler och känsliga angivna områden, för att säkerställa att alla informations- och IKT-tillgångar är tillräckligt skyddade mot risker, inbegripet skada och obehörig åtkomst eller användning.

3. I enlighet med sin IKT-riskhanteringsram ska finansiella entiteter minimera effekterna av IKT-risk genom att införa lämpliga strategier, riktlinjer, förfaranden, IKT-protokoll och verktyg. De ska tillhandahålla fullständig och uppdaterad information om IKT-risk och om sin IKT-riskhanteringsram till de behöriga myndigheterna när dessa begär det.

4. Andra finansiella entiteter än mikroföretag ska överföra ansvaret för att hantera och övervaka IKT-risk till en kontrollfunktion och säkerställa en lämplig nivå av oberoende för den kontrollfunktionen för att undvika intressekonflikter. Finansiella entiteter ska säkerställa lämplig åtskillnad mellan och lämpligt oberoende för riskhanteringsfunktioner, kontrollfunktioner och interna revisionsfunktioner avseende IKT, enligt modellen med tre försvarslinjer eller en intern riskhanterings- och kontrollmodell.

Mikroföretag

Mikroföretag undantas från kravet att inrätta en kontrollfunktion för hantering och övervakning av IKT-risker.

5. IKT-riskhanteringsramen ska dokumenteras och ses över minst en gång per år, eller regelbundet när det gäller mikroföretag, liksom vid uppkomsten av allvarliga IKT-relaterade incidenter, och i enlighet med tillsynsinstruktioner eller slutsatser från relevanta testnings- eller revisionsprocesser för digital operativ motståndskraft. Ramen ska förbättras fortlöpande baserat på erfarenheterna från genomförande och övervakning. En rapport om översynen av IKT-riskhanteringsramen ska överlämnas till den behöriga myndigheten på dess begäran.

Mikroföretag

Mikroföretag undantas från kravet på årlig översyn av riskhanteringsramen. Den ska istället ske regelbundet.

6. IKT-riskhanteringsramen hos andra finansiella entiteter än mikroföretag ska vara föremål för en internrevision av revisorer på regelbunden basis och i enlighet med finansiella entiteters revisionsplan. Dessa revisorer ska ha tillräckliga kunskaper, färdigheter och expertis om IKT-risker, samt ha en lämplig nivå av oberoende. IKT-revisionernas frekvens och inriktning ska stå i proportion till den finansiella entitetens IKT-risk.

Mikroföretag

Mikroföretag undantas från kravet på internrevision av riskhanteringsramen.

7. Finansiella entiteter ska baserat på slutsatserna från den interna revisionsrapporten inrätta en formell uppföljningsprocess, inbegripet regler för snabb kontroll och snabbt åtgärdande av kritiska resultat från IKT-revisionen.

8. IKT-riskhanteringsramen ska omfatta en strategi för digital operativ motståndskraft där det anges hur ramen ska genomföras. För detta ändamål ska strategin för digital operativ motståndskraft inbegripa metoder för att hantera IKT-risk och uppnå specifika IKT-mål på följande sätt:

   1. Förklara hur IKT-riskhanteringsramen stöder den finansiella entitetens affärsstrategi och mål.
   2. Fastställa risktoleransnivån för IKT-risk i enlighet med den finansiella entitetens riskbenägenhet och analysera toleransen mot effekterna av IKT-avbrott.
   3. Fastställa tydliga informationssäkerhetsmål, inbegripet nyckelprestationsindikatorer och viktiga riskmått.
   4. Förklara IKT-referensarkitekturen och eventuella förändringar som krävs för att uppnå specifika verksamhetsmål.
   5. Beskriva de olika mekanismer som har införts för att upptäcka IKT-relaterade incidenter, förebygga deras effekter och ge skydd däremot.
   6. Lägga fram bevis för den befintliga situationen vad gäller digital operativ motståndskraft baserat på antalet rapporterade allvarliga IKT-relaterade incidenter och de förebyggande åtgärdernas effektivitet.
   7. Genomföra tester av den digitala operativa motståndskraften, i enlighet med kapitel IV i denna förordning.
   8. Beskriva en kommunikationsstrategi vid IKT-relaterade incidenter; vars offentliggörande föreskrivs i artikel 14.

9. Finansiella entiteter får, när det gäller den strategi för digital operativ motståndskraft som avses i punkt 8, utforma en holistisk strategi med flera olika leverantörer av IKT-tjänster på koncern- eller entitetsnivå som visar de viktigaste beroendena av tredjepartsleverantörer av IKT-tjänster och förklarar logiken bakom upphandlingsmixen av tredjepartsleverantörer av IKT-tjänster.

10. Finansiella entiteter får, i enlighet med unionsrätten och den nationella rätten på området utkontraktera uppgiften att kontrollera efterlevnaden av IKT-riskhanteringskraven till koncerninterna eller externa företag. Vid sådan utkontraktering bär den finansiella entiteten det fulla ansvaret för kontrollen av efterlevnaden av IKT-riskhanteringskraven.