Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава II. Управление ICT-рисками
- Раздел II
- Статья 13. Извлечение опыта и развитие
Статья 13. Извлечение опыта и развитие
Статья 13
Извлечение опыта и развитие
1. Финансовые организации должны располагать возможностями и персоналом для сбора информации о факторах уязвимости и киберугрозах, инцидентах, связанных с ICT, в частности о кибератаках, и для анализа их потенциального влияния на цифровую операционную устойчивость финансовых организаций.
2. Финансовые организации должны проводить проверку после инцидента, связанного с ICT, после того, как в результате крупного инцидента, связанного с ICT, их основная деятельность была нарушена, анализируя причины нарушения и определяя необходимые улучшения в работе ICT или в рамках политики по обеспечению непрерывности деятельности в сфере ICT, как указано в Статье 11 настоящего Регламента.
Финансовые организации, за исключением микропредприятий, должны по запросу сообщать компетентным органам об изменениях, внесенных по результатам проверок после инцидентов, связанных с ICT, как указано в первом подпараграфе.
По результатам проверок после инцидентов, связанных с ICT, как указано в первом подпараграфе, необходимо установить, соблюдались ли установленные процедуры и были ли принятые меры эффективными, в том числе в отношении следующего:
(a) оперативности реагирования на оповещения об угрозах и определения влияния инцидентов, связанных с ICT, и их серьезности;
(b) качества и скорости проведения судебно-медицинской экспертизы, если это целесообразно;
(c) эффективности процедур по урегулированию проблем внутри финансовой организации;
(d) эффективности внутренних и внешних коммуникаций.
3. Опыт, извлеченный из проведения испытаний на цифровую операционную устойчивость в соответствии со Статьями 26 и 27 настоящего Регламента, из реальных инцидентов, связанных с ICT, в частности кибератак, а также из сложностей, возникающих при активации планов по обеспечению непрерывности деятельности в сфере ICT и планов по реагированию и восстановлению ICT, вместе с релевантной информацией, которая передается между контрагентами и оценивается в ходе надзорных проверок, должен надлежащим образом учитываться в процессе оценки ICT-рисков на постоянной основе. Такие выводы должны стать основой для соответствующих проверок значимых элементов системы управления ICT-рисками, указанной в Статье 6(1) настоящего Регламента.
4. Финансовые организации должны отслеживать эффективность внедрения своей стратегии в области цифровой операционной устойчивости, изложенной в Статье 6(8) настоящего Регламента. Они должны учитывать изменения ICT-рисков с течением времени, анализировать частоту, типы, масштабы и эволюцию инцидентов, связанных с ICT, в частности кибератак и их моделей, чтобы понимать уровень подверженности ICT-рискам, в частности, в связи с критическими или важными функциями, а также повышать уровень киберзрелости и готовности финансовой организации.
5. Ведущие сотрудники, занимающиеся вопросами ICT, должны как минимум один раз в год отчитываться перед органом управления о выводах, упомянутых в параграфе 3 настоящей Статьи, и предлагать рекомендации.
6. Финансовые организации должны разработать программы повышения уровня осведомленности о безопасности ICT и программы обучения в области цифровой операционной устойчивости в качестве обязательных модулей в своих системах обучения персонала. Такие программы и обучение должны быть применимы ко всем сотрудникам и старшему руководящему персоналу и должны иметь уровень сложности, соответствующий кругу их обязанностей. При необходимости финансовые организации также должны включать сторонних поставщиков услуг ICT в свои соответствующие системы обучения согласно пункту (i) Статьи 30(2) настоящего Регламента.
7. Финансовые организации, за исключением микропредприятий, должны постоянно отслеживать соответствующие технологические разработки, в том числе для понимания возможного влияния применения таких новых технологий на требования безопасности ICT и на цифровую операционную устойчивость. Они должны быть в курсе последних процессов управления ICT-рисками, чтобы эффективно бороться с текущими или новыми формами кибератак.