Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава IV. Испытания на цифровую операционную устойчивость
- Статья 26. Расширенные испытания инструментов, систем и процессов ICT посредством TLPT
Статья 26. Расширенные испытания инструментов, систем и процессов ICT посредством TLPT
Статья 26
Расширенные испытания инструментов, систем и процессов ICT посредством TLPT
1. Финансовые организации, за исключением организаций, указанных в первом подпараграфе Статьи 16(1) настоящего Регламента, и за исключением микропредприятий, которые определяются в соответствии с третьим подпараграфом параграфа 8 настоящей Статьи, должны как минимум один раз каждые три года проводить расширенные испытания посредством TLPT. На основе профиля риска финансовой организации и с учетом операционных условий компетентный орган может, при необходимости, потребовать от финансовой организации уменьшения или увеличения частоты проведения таких испытаний.
2. Каждое обусловленное угрозой испытание на проникновение должно охватывать несколько или все критические или важные функции финансовой организации и должно проводиться в отношении действующих производственных систем, которые поддерживают выполнение таких функций.
Финансовые организации должны определить все релевантные базовые системы, процессы и технологии ICT, которые поддерживают выполнение критических или важных функций, а также услуги ICT, включая те, что поддерживают выполнение критических или важных функций, переданных на аутсорсинг или по контракту сторонним поставщикам услуг ICT.
Финансовые организации должны оценить, какие критические или важные функции должны быть охвачены TLPT. Результат такой оценки должен установить точную сферу применения TLPT и должен быть утвержден компетентными органами.
3. Если сторонние поставщики услуг ICT включены в сферу применения TLPT, финансовая организация должна принять необходимые меры и гарантии для обеспечения участия таких сторонних поставщиков услуг ICT в TLPT и в любом случае сохраняет полную ответственность за обеспечение соблюдения настоящего Регламента.
4. Без ущерба действию первого и второго подпараграфов параграфа 2 настоящей Статьи, если обоснованно ожидается, что участие стороннего поставщика услуг ICT в TLPT, как указано в параграфе 3 настоящей Статьи, окажет неблагоприятное воздействие на качество или безопасность услуг, оказываемых сторонним поставщиком услуг ICT клиентам, которые не подпадают под действие настоящего Регламента, или на конфиденциальность данных, связанных с такими услугами, то финансовая организация и сторонний поставщик услуг ICT могут в письменной форме договориться о том, что сторонний поставщик услуг ICT напрямую вступает в договорные отношения с внешним специалистом по проведению испытаний в целях проведения под руководством единой назначенной финансовой организации общего TLPT с участием нескольких финансовых организаций (общие испытания), которым сторонний поставщик услуг ICT оказывает услуги ICT.
Такие общие испытания должны охватывать соответствующий диапазон услуг ICT, которые поддерживают выполнение критических или важных функций, переданных финансовыми организациями по договору соответствующему стороннему поставщику услуг ICT. Общие испытания считаются TLPT, проведенным финансовыми организациями, участвующими в общих испытаниях.
Количество финансовых организаций, участвующих в общих испытаниях, должно быть надлежащим образом выверено с учетом сложности и видов соответствующих услуг.
5. Финансовые организации в сотрудничестве со сторонними поставщиками услуг ICT и другими заинтересованными сторонами, включая специалистов по проведению испытаний, но исключая компетентные органы, должны применять эффективные механизмы управления рисками для снижения рисков любого потенциального воздействия на данные, повреждения активов и нарушения выполнения критических или важных функций, услуг или операций на уровне самой финансовой организации, ее контрагентов или финансового сектора.
6. По завершении проведения испытаний после согласования отчетов и планов по устранению недостатков финансовая организация и, если применимо, внешние специалисты по проведению испытаний должны предоставить органу, назначенному в соответствии с параграфом 9 или 10 настоящей Статьи, краткие сведения относительно соответствующих выводов, планов по устранению недостатков и документации, подтверждающей проведение TLPT в соответствии с требованиями.
7. Органы власти выдают финансовым организациям свидетельство, подтверждающее, что испытания были проведены в соответствии с требованиями, как указано в документации, чтобы обеспечить взаимное признание обусловленных угрозой испытаний на проникновение между компетентными органами. Финансовая организация должна направить соответствующему компетентному органу свидетельство, а также краткие сведения относительно соответствующих выводов и планов по устранению недостатков.
Без ущерба для такого подтверждения финансовые организации в любом случае сохраняют полную ответственность за воздействие испытаний, указанных в параграфе 4 настоящей Статьи.
8. Финансовые организации должны привлекать специалистов по проведению испытаний в целях проведения TLPT в соответствии со Статьей 27 настоящего Регламента. Если финансовые организации привлекают внутренних специалистов к проведению TLPT, они должны нанимать внешних специалистов через каждые три испытания.
Кредитные организации, признанные значимыми в соответствии со Статьей 6(4) Регламента (ЕС) 1024/2013, должны привлекать только внешних специалистов по проведению испытаний в соответствии с пунктами (a)-(e) Статьи 27(1) настоящего Регламента.
Компетентные органы должны определить финансовые организации, которые обязаны выполнять TLPT, с учетом критериев, изложенных в Статье 4(2) настоящего Регламента, на основе оценки следующих элементов:
(a) факторов, связанных с воздействием, в частности степень, в которой предоставляемые услуги и осуществляемая финансовой организацией деятельность влияют на финансовый сектор;
(b) возможных проблем, связанных с финансовой стабильностью, включая системный характер финансовой организации на уровне Европейского Союза или на национальном уровне, в зависимости от обстоятельств;
(c) конкретного профиля ICT-рисков, уровня зрелости финансовой организации в области ICT или задействованных технологических характеристик.
9. Государства-члены ЕС могут назначить единый государственный орган в финансовом секторе, который будет нести ответственность за вопросы, связанные с проведением TLPT в финансовом секторе на национальном уровне, и возложить на него все полномочия и задачи в этом отношении.
10. В отсутствие назначения в соответствии с параграфом 9 настоящей Статьи и без ущерба для полномочия определять финансовые организации, которые обязаны проводить TLPT, компетентный орган может делегировать выполнение некоторых или всех задач, указанных в настоящей Статье и Статье 27 настоящего Регламента другому национальному органу в финансовом секторе.
11. ESA должны по согласованию с ECB разработать совместные проекты регулятивных технических стандартов в соответствии с платформой TIBER-EU, чтобы дополнительно уточнить:
(a) критерии, используемые в целях применения второго подпараграфа параграфа 8 настоящей Статьи;
(b) требования и стандарты, регулирующие привлечение внутренних специалистов по проведению испытаний;
(c) требования в отношении:
(i) объема TLPT, указанного в параграфе 2 настоящей Статьи;
(ii) методологии проведения испытаний и подхода, которым необходимо следовать, для каждой конкретной стадии процесса проведения испытаний;
(iii) результатов, этапов завершения и устранения нарушений в ходе испытаний;
(d) вид надзорного и иного релевантного сотрудничества, которое необходимо для проведения TLPT и для содействия взаимному признанию результатов таких испытаний в контексте финансовых организаций, которые осуществляют свою деятельность в нескольких государствах-членах ЕС, чтобы обеспечить надлежащий уровень участия надзорных органов и гибкую реализацию с учетом специфики финансовых подсекторов или местных финансовых рынков.
При разработке таких проектов регулятивных технических стандартов ESA должны надлежащим образом учитывать любые особенности, обусловленные различным характером деятельности в различных секторах финансовых услуг.
ESA должны представить такие проекты регулятивных технических стандартов Европейской Комиссии не позднее 17 июля 2024 г.
Европейской Комиссии делегированы полномочия по дополнению настоящего Регламента путем принятия регулятивных технических стандартов, указанных в первом подпараграфе, в соответствии со Статьями 10 - 14 Регламентов (ЕС) 1093/2010, (ЕС) 1094/2010 и (ЕС) 1095/2010.