DORA simplified RMF

Vaatimuksen kuvaus

1. The financial entities referred to in Article 16(1) of Regulation (EU) 2022/2554 shall submit the report on the review of the ICT risk management framework referred to in paragraph 2 of that Article in a searchable electronic format.

2. The report referred to in paragraph 1 shall contain all of the following information:

(a) an introductory section providing:

(i) a description of the context of the report in terms of the nature, scale, and complexity of the financial entity’s services, activities, and operations, the financial entity’s organisation, identified critical functions, strategy, major ongoing projects or activities, and relationships, and the financial entity’s dependence on in-house and outsourced ICT services and systems, or the implications that a total loss or severe degradation of such systems would have on critical or important functions and market efficiency;

(ii) an executive level summary of the current and near-term ICT risk identified, threat landscape, the assessed effectiveness of its controls, and the security posture of the financial entity;

(iii) information about the reported area;

(iv) a summary of the major changes in the ICT risk management framework since the previous report;

(v) a summary and a description of the impact of major changes to the simplified ICT risk management framework since the previous report;

(b) where applicable, the date of the approval of the report by the management body of the financial entity;

(i) where the review has been initiated following supervisory instructions, evidence of such instructions;

(ii) where the review has been initiated following the occurrence of ICT-related incidents, the list of all those ICT-related incidents with related incident root-cause analysis;

(d) the start and end date of the review period;

(e) the person responsible for the review;

(f) a summary of findings, and a self-assessment of the severity of the weaknesses, deficiencies, and gaps identified in ICT risk management framework for the review period, including a detailed analysis thereof;

(g) remedying measures identified to address weaknesses, deficiencies, and gaps in the simplified ICT risk management framework, and the expected date for implementing those measures, including the follow-up on weaknesses, deficiencies, and gaps identified in previous reports, where those weaknesses, deficiencies, and gaps have not yet been remedied;

(h) overall conclusions on the review of the simplified ICT risk management framework, including any further planned developments.

Kuinka täyttää vaatimus

Article 41: Format and content of the report on the review of the simplified ICT risk management framework

Tehtävän nimi

Prioriteetti

Tila

Teema

Politiikka

Muut vaatimukset

Critical

High

Normal

Low

Täysin tehty

Pääosin tehty

Osin tehty

Tekemättä

Riskien hallinta ja johtaminen

Digiturvan johtaminen

vaatimusta

Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa

Article 41: Format and content of the report on the review of the simplified ICT risk management framework

DORA simplified RMF

Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.

Siirry kohtaan >

Yksinkertaistetun tieto- ja viestintätekniikan riskinhallintakehyksen raportoinnin tarkistaminen

1. Tehtävän vaatimuskuvaus

Organisaation on toimitettava raportti tieto- ja viestintätekniikan riskienhallintakehyksen uudelleentarkastelusta hakukelpoisessa sähköisessä muodossa. Sen on sisällettävä:

Johdanto:

Kuvaus rahoitusyksikön toimintaympäristöstä, mukaan lukien:

Palvelujen, toimintojen ja operaatioiden luonne, laajuus ja monimutkaisuus.
Organisaatiorakenne ja tunnistetut kriittiset toiminnot.
Strategia ja tärkeimmät käynnissä olevat hankkeet tai toiminnot.
Suhteet ja riippuvuus sisäisistä ja ulkoistetuista tieto- ja viestintätekniikkapalveluista.
Tieto- ja viestintäteknisten järjestelmien täydellisen menetyksen tai vakavan heikkenemisen vaikutukset kriittisiin toimintoihin ja markkinoiden tehokkuuteen.

Johtotason tiivistelmä:

Yhteenveto tunnistetuista nykyisistä ja lähitulevaisuuden tieto- ja viestintätekniikkariskeistä.
Keskustelkaa uhkakuvasta ja valvonnan arvioidusta tehokkuudesta.
Hahmotellaan rahoituslaitoksen tietoturvatilanne.

Raportoitua aluetta koskevat tiedot:

Anna tarkat tiedot raportin painopisteestä.

Muutokset tieto- ja viestintätekniikan riskienhallintakehyksessä:

Tiivistä edellisen raportin jälkeen tapahtuneet tärkeimmät muutokset.
Kuvaile näiden muutosten vaikutusta yksinkertaistettuun tieto- ja viestintätekniikan riskienhallintakehykseen.

Hyväksymispäivä:

Mainitse tarvittaessa päivämäärä, jolloin johtoelin hyväksyi raportin.

Tarkistuksen syy:

Selitä, miksi uudelleentarkasteluun ryhdyttiin, mukaan lukien:
Mahdolliset valvontaohjeet ja niihin liitetyt todisteet.
Tieto- ja viestintätekniikkaan liittyvien vaaratilanteiden esiintyminen ja luettelo niistä sekä niiden syy-yhteysanalyysi.

Tarkistusta koskevat tiedot:

Sisällytä tarkastelujakson alku- ja loppupäivä.
Ilmoittakaa tarkastelun suorittamisesta vastaava henkilö.
Yhteenveto ja itsearviointi tieto- ja viestintätekniikan riskinhallintajärjestelmän heikkouksista, puutteista ja puutteista.
Sisällytä yksityiskohtainen analyysi näistä havainnoista.

Korjaavat toimenpiteet:

Luettele toimenpiteet, jotka on yksilöity heikkouksien, puutteiden ja puutteiden korjaamiseksi.
Sisällytä toimenpiteiden täytäntöönpanon odotetut päivämäärät.
Seuraa aiempien raporttien ratkaisemattomia kysymyksiä.

Arvioinnin päättäminen, mukaan lukien tieto- ja viestintätekniikan riskinhallinnan suunniteltu jatkokehitys.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi

Prioriteetti

Tila

Teema

Politiikka

Muut vaatimukset

No items found.

Vaatimuskehikot

Käyttötavat

Ominaisuudet

Muut

Vaatimuksen kuvaus

Kuinka täyttää vaatimus