Статья 8. Идентификация. Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14.12.2022 о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011

Статья 8
Идентификация

1. В рамках системы управления ICT-рисками, указанной в Статье 6(1) настоящего Регламента, финансовые организации должны идентифицировать, классифицировать и должным образом подтверждать документами все коммерческие операции, должности и обязанности, поддерживаемые ICT, информационные активы и ICT-активы, поддерживающие такие функции, а также их роли и зависимость в отношении ICT-рисков. Финансовые организации должны пересматривать по мере необходимости, но не реже одного раза в год, достаточность этой классификации и любой соответствующей документации.

2. Финансовые организации должны на постоянной основе выявлять все источники ICT-рисков, в частности подверженность риску со стороны других финансовых организаций, и оценивать киберугрозы и факторы уязвимости ICT, относящиеся к их коммерческим операциям, поддерживаемым ICT, информационным активам и ICT-активам. Финансовые организации должны регулярно, но не реже одного раза в год, пересматривать сценарии влияющих на них рисков.

3. Финансовые организации, за исключением микропредприятий, должны проводить оценку рисков при каждом крупном изменении в инфраструктуре их сетевых и информационных систем, в их процессах или процедурах, которые затрагивают их коммерческие операции, поддерживаемые ICT, информационные активы или ICT-активы.

4. Финансовые организации должны идентифицировать все информационные активы и ICT-активы, в том числе находящиеся на удаленных сайтах, а также сетевые ресурсы и аппаратное оборудование, и обозначить те, которые считаются стратегическими. Они должны обозначить конфигурацию информационных активов и ICT-активов, а также связи и взаимозависимости между различными информационными активами и ICT-активами.

5. Фина