Статья 15. Дальнейшая гармонизация инструментов, методов, процессов и принципов управления ICT-рисками. Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14.12.2022 о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011

Статья 15
Дальнейшая гармонизация инструментов, методов, процессов и принципов управления ICT-рисками

ESA должны в рамках Совместного комитета и посредством консультаций с Агентством Европейского Союза по кибербезопасности (ENISA) разработать общие проекты регулятивных технических стандартов в целях:

(a) уточнения дополнительных элементов, которые должны быть учтены в принципах, процедурах, протоколах и инструментах безопасности ICT, указанных в Статье 9(2) настоящего Регламента, для обеспечения безопасности сетей, надлежащих гарантий против вторжения и неправомерного использования данных, сохранения доступности, подлинности, целостности и конфиденциальности данных, включая криптографические техники, а также для обеспечения точной и оперативной передачи данных без серьезных сбоев и необоснованных задержек;

(b) разработки дополнительных элементов контроля прав управления доступом, указанных в пункте (c) Статьи 9(4) настоящего Регламента, и связанной с ними политики управления персоналом, которая определяет права доступа, процедуры предоставления и отзыва прав, мониторинг аномального поведения в отношении ICT-риска через соответствующие индикаторы, в том числе для моделей использования сети, часов, IT-активности и неизвестных устройств;

(с) дальнейшего развития механизмов, указанных в Статье 10(1) настоящего Регламента, позволяющих оперативно обнаружить аномальную деятельность, и критериев, изложенных в Статье 10(2) настоящего Регламента, инициирующих процессы обнаружения инцидентов, связанных с ICT, и реагирования на них;

(d) дальнейшего уточнения элементов политики по обеспечению непрерывности деятельности в сфере ICT, как указано в Статье 11(1) настоящего Регламента;

(e) дальнейшего уточнения испытаний планов по обеспечению непрерывности деятельности в сфере ICT, как указано в Статье 11(6) настоящего Регламента, для обеспечения того, чтобы такие испытания должным образом учитывали сценарии, в которых качество выполнения критической или важной функции ухудшается до неприемлемого уровня или ее выполнение нарушается, а также должным образом учитывали потенциальное влияние неплатежеспособности или других нарушений в работе соответствующего стороннего поставщика услуг ICT и, если применимо, политические риски в юрисдикциях соответствующих поставщиков;

(f) дальнейшего уточнения элементов планов по реагированию и восстановлению ICT, как указано в Статье 11(3) настоящего Регламента;

(g) дальнейшего уточнения содержания и формата отчетов о пересмотре системы управления ICT-рисками, указанных в Статье 6(5) настоящего Регламента;

При разработке таких проектов регулятивных технических стандартов ESA должны принимать во внимание размер и общий профиль риска финансовой организации, а также характер, масштаб и сложность ее услуг, деятельности и операций, при этом должным образом учитывая любые специфические особенности, возникающие ввиду различного характера деятельности в различных секторах финансовых услуг.

ESA должны представить такие проекты регулятивных технических стандартов Европейской Комиссии не позднее 17 января 2024 г.

Европейской Комиссии делегированы полномочия по дополнению настоящего Регламента путем принятия регулятивных технических стандартов, указанных в первом параграфе, в соответствии со Статьями 10-14 Регламентов (ЕС) 1093/2010, (ЕС) 1094/2010 и (ЕС) 1095/2010.