Статья 5. Организация управления и структура. Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14.12.2022 о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011

Статья 5
Организация управления и структура

1. Финансовые организации должны разработать систему внутреннего управления и контроля, обеспечивающую эффективное и взвешенное управление ICT-рисками в соответствии со Статьей 6(4) настоящего Регламента для достижения высокого уровня цифровой операционной устойчивости.

2. Орган управления финансовой организации должен определять, утверждать, осуществлять надзор и нести ответственность за выполнение всех мероприятий, связанных с системой управления ICT-рисками, указанной в Статье 6(1) настоящего Регламента.

В целях первого подпараграфа орган управления должен:

(a) нести единоличную ответственность за управление ICT-рисками финансовой организации;

(b) принимать правила, направленные на поддержание высоких стандартов доступности, подлинности, целостности и конфиденциальности данных;

(c) устанавливать четкие функции и обязанности для всех подразделений, связанных с ICT, а также устанавливать соответствующие механизмы управления для обеспечения эффективной и своевременной коммуникации, сотрудничества и координации между такими подразделениями;

(d) нести общую ответственность за разработку и утверждение стратегии в области цифровой операционной устойчивости, как указано в Статье 6(8) настоящего Регламента, включая определение соответствующего уровня допустимого ICT-риска для финансовой организации, как указано в пункте (b) Статьи 6(8) настоящего Регламента;

(e) утверждать, контролировать и периодически пересматривать имплементацию политики финансовой организации по обеспечению непрерывности деятельности в сфере ICT, а также планов реагирования и восстановления ICT, указанных в Статье 11(1) и (3) настоящего Регламента соответственно, которые могут быть приняты в качестве специальной политики, составляющей неотъемлемую часть общей политики финансовой организации по обеспечению непрерывности бизнеса и плана реагирования и восстановления;

(f) утверждать и периодически пересматривать планы финансовой организации по внутреннему аудиту ICT, аудит ICT и существенные изменения к ним;

(g) выделять и периодически пересматривать соответствующий бюджет для удовлетворения потребностей финансовой организации в цифровой операционной устойчивости в части всех видов ресурсов, включая соответствующие программы осведомленности о безопасности ICT и обучение в области цифровой операционной устойчивости, как указано в Статье 13(6) настоящего Регламента, а также навыки в области ICT для всех сотрудников;

(h) утверждать и периодически пересматривать политику финансовой организации в отношении договоров об использовании услуг ICT, оказываемых сторонними поставщиками услуг ICT;

(i) устанавливать на корпоративном уровне каналы отчетности, позволяющие получать надлежащую информацию, касающуюся:

(i) договоров со сторонними поставщиками услуг ICT об использовании услуг ICT,

(ii) соответствующих запланированных существенных изменений в отношении сторонних поставщиков услуг ICT,

(iii) потенциального влияния таких изменений на выполнение критических или важных функций, являющихся предметом таких договоров, включая краткий анализ рисков для оценки воздействия таких изменений и как минимум крупных инцидентов, связанных с ICT, и их воздействия, а также мер реагирования, восстановления и корректировки.

3. Финансовые организации, за исключением микропредприятий, должны учредить должностную позицию для мониторинга своих договоров со сторонними поставщиками услуг ICT относительно использования услуг ICT или назначать какого-либо члена высшего руководства ответственным за осуществление надзора за связанными рисками и соответствующей документацией.

4. Члены органа управления финансовой организации должны активно поддерживать свои знания и навыки на достаточном уровне, чтобы понимать и оценивать ICT-риски и их влияние на деятельность финансовой организации, в том числе путем прохождения специального обучения на регулярной основе, соразмерного управляемым ICT-рискам.