Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава V. Управление ICT-рисками третьих сторон
- Раздел I. Ключевые принципы для рационального управления ICT-рисками третьих сторон
- Статья 28. Общие принципы
Статья 28. Общие принципы
Статья 28
Общие принципы
1. Финансовые организации должны управлять ICT-рисками третьих сторон как неотъемлемым компонентом ICT-рисков в рамках своей системы управления ICT-рисками, как указано в Статье 6(1) настоящего Регламента, в соответствии со следующими принципами:
(а) финансовые организации, заключившие договорные отношения на использование услуг ICT для осуществления своих деловых операций, должны в любом случае нести полную ответственность за соблюдение и исполнение всех обязательств в соответствии с настоящим Регламентом и применимым законодательством о финансовых услугах;
(b) управление финансовыми организациями ICT-рисками третьих сторон должно осуществляться в свете принципа пропорциональности с учетом:
(i) характера, масштаба, сложности и значимости зависимости в области ICT,
(ii) рисков, возникающих в связи с договорами об использовании услуг ICT, заключенными со сторонними поставщиками услуг ICT, с учетом критичности или важности соответствующей услуги, процесса или функции, а также потенциального влияния на непрерывность и доступность финансовых услуг и деятельности на индивидуальном и групповом уровне.
2. В рамках своих систем управления ICT-рисками финансовые организации, за исключением организаций, указанных в первом подпараграфе Статьи 16(1) настоящего Регламента, и за исключением микропредприятий, должны принять и регулярно пересматривать стратегию в отношении ICT-рисков третьих сторон, принимая во внимание стратегию работы с несколькими поставщиками, как указано в Статье 6(9) настоящего Регламента, если применимо. Стратегия в отношении ICT-рисков третьих сторон должна включать в себя политику использования услуг ICT, которые поддерживают выполнение критических или важных функций и предоставляются сторонними поставщиками услуг ICT, и должна применяться на индивидуальной основе и, если применимо, на субконсолидированной и консолидированной основе. Орган управления должен на основе оценки общего профиля рисков финансовой организации, а также масштаба и сложности коммерческих услуг регулярно пересматривать риски, выявленные в связи с договорами об использовании услуг ICT, которые поддерживают выполнение критических или важных функций.
3. В рамках своих систем управления ICT-рисками финансовые организации должны вести и поддерживать в актуальном состоянии на уровне организации, а также на субконсолидированном и консолидированном уровнях информационный реестр всех соглашений об использовании услуг ICT, предоставляемых сторонними поставщиками услуг ICT.
Соглашения, указанные в первом подпараграфе, должны быть надлежащим образом зарегистрированы; при этом проводится различие между соглашениями, охватывающими услуги ICT, которые поддерживают выполнение критических или важных функций, и другими соглашениями.
Финансовые организации должны как минимум один раз в год отчитываться перед компетентными органами о количестве новых соглашений об использовании услуг ICT, категориях сторонних поставщиков услуг ICT, о виде соглашений и предоставляемых услугах и функциях ICT.
Финансовые организации должны предоставить компетентному органу по его запросу информационный реестр в полном объеме или, по запросу, его отдельные разделы вместе с информацией, которая считается необходимой для обеспечения эффективного надзора за финансовой организацией.
Финансовые организации должны своевременно информировать компетентный орган о любом запланированном заключении соглашения об использовании услуг ICT, которые поддерживают выполнение критических или важных функций, а также о том, когда функция стала критической или важной.
4. До заключения соглашения об использовании услуг ICT финансовые организации должны:
(a) оценить, распространяется ли соглашение на использование услуг ICT, которые поддерживают выполнение критической или важной функции;
(b) оценить соблюдение надзорных условий для заключения соглашения;
(c) определить и оценить все соответствующие риски, связанные с соглашением, включая возможность того, что такое соглашение может способствовать усилению риска концентрации ICT, как указано в Статье 29 настоящего Регламента;
(d) провести комплексную проверку предполагаемых сторонних поставщиков услуг ICT и на протяжении всего процесса отбора и оценки гарантировать соответствие стороннего поставщика услуг ICT;
(е) выявить и оценить конфликты интересов, которые может вызвать соглашение.
5. Финансовые организации могут заключать соглашения только с теми сторонними поставщиками услуг ICT, которые соблюдают соответствующие стандарты информационной безопасности. Если такие соглашения касаются критических или важных функций, финансовые организации должны до их заключения надлежащим образом учесть использование сторонними поставщиками услуг ICT самых современных и высококачественных стандартов информационной безопасности.
6. При осуществлении прав на доступ, проведение проверок и аудита в отношении стороннего поставщика услуг ICT финансовые организации должны, применяя риск-ориентированный подход, предварительно определить периодичность аудитов и проверок, а также области, подлежащие аудиту, придерживаясь общепринятых стандартов аудита в соответствии с инструкциями надзорных органов по использованию и внедрению таких стандартов аудита.
Если соглашения, заключенные со сторонними поставщиками услуг ICT об использовании услуг ICT, предполагают высокую техническую сложность, финансовая организация должна убедиться в том, что аудиторы, будь то внутренние или внешние, или группа аудиторов, обладают надлежащими навыками и знаниями для эффективного проведения соответствующего аудита и оценки.
7. Финансовые организации должны обеспечить возможность расторжения соглашений об использовании услуг ICT в любом из следующих случаев:
(а) существенное нарушение сторонним поставщиком услуг ICT применимых законов, нормативных актов или договорных условий;
(b) обстоятельства, выявленные в ходе мониторинга ICT-рисков третьих сторон, которые, как считается, могут изменить выполнение функций, предусмотренных соглашением, включая существенные изменения, влияющие на соглашение или на положение стороннего поставщика услуг ICT;
(c) подтвержденные недостатки стороннего поставщика услуг ICT, связанные с его общим управлением ICT-рисками, в частности, с тем, как он обеспечивает доступность, подлинность, целостность и конфиденциальность данных, будь то личные или иные секретные данные либо данные, не являющиеся персональными;
(d) если компетентный орган более не может осуществлять эффективный надзор за финансовой организацией в результате условий или обстоятельств, связанных с соответствующим соглашением.
8. Что касается услуг ICT, которые поддерживают выполнение критических или важных функций, финансовые организации должны внедрять стратегии прекращения договорных отношений. Такие стратегии должны учитывать риски, которые могут возникнуть на уровне сторонних поставщиков услуг ICT, в частности, возможный сбой с их стороны, ухудшение качества предоставляемых услуг ICT, любое прерывание деятельности ввиду ненадлежащего или несостоявшегося оказания услуг ICT или любой существенный риск, возникающий в связи с надлежащим и непрерывным оказанием соответствующей услуги ICT либо в связи с расторжением договорных отношений со сторонними поставщиками услуг ICT при наступлении обстоятельств, перечисленных в параграфе 7 настоящей Статьи.
Финансовые организации гарантируют, что они способны прекратить договорные отношения без:
(a) нарушения своей коммерческой деятельности,
(b) ограничения объема соблюдения нормативно-правовых требований,
(c) ущерба для непрерывности и качества услуг, предоставляемых клиентам.
Стратегии прекращения договорных отношений должны быть всеобъемлющими, документально оформленными и, в соответствии с критериями, изложенными в Статье 4(2) настоящего Регламента, должны подвергаться достаточной проверке и периодическому пересмотру.
Финансовые организации должны определить альтернативные решения и разработать планы на переходный период, которые позволят им удалять договорные услуги ICT и соответствующие данные стороннего поставщика услуг ICT, а также безопасно и в полном объеме передавать их альтернативным поставщикам или повторно включить их в структуру организации.
Финансовые организации должны разработать надлежащие меры на случай непредвиденных обстоятельств для обеспечения непрерывности деятельности в случае наступления обстоятельств, указанных в первом подпараграфе.
9. ESA в рамках Совместного комитета должны разработать проекты имплементационных технических стандартов в целях установления стандартных шаблонов для информационного реестра, указанного в параграфе 3 настоящей Статьи, включая сведения, которые являются общими для всех соглашений об использовании услуг ICT. ESA направляют Европейской Комиссии такие проекты имплементационных технических стандартов не позднее 17 января 2024 г.
Европейской Комиссии делегированы полномочия по принятию имплементационных технических стандартов, указанных в первом подпараграфе, в соответствии со Статьей 15 Регламентов (ЕС) 1093/2010, (ЕС) 1094/2010 и (ЕС) 1095/2010.
10. ESA должны в рамках Совместного комитета разработать проекты регулятивных технических стандартов в целях дальнейшего уточнения подробного содержания стратегии, указанной в параграфе 2 настоящей Статьи в отношении договоров об использовании услуг ICT, которые поддерживают выполнение критической или важной функции и предоставляются сторонними поставщиками услуг ICT.
При разработке таких проектов регулятивных технических стандартов ESA должны принимать во внимание размер и общий профиль риска финансовой организации, а также характер, масштаб и сложность ее услуг, деятельности и операций. ESA должны представить такие проекты регулятивных технических стандартов Европейской Комиссии не позднее 17 января 2024 г.
Европейской Комиссии делегированы полномочия по дополнению настоящего Регламента путем принятия регулятивных технических стандартов, указанных в первом параграфе, в соответствии со Статьями 10 - 14 Регламентов (ЕС) 1093/2010, (ЕС) 1094/2010 и (ЕС) 1095/2010.