Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава I. Общие положения
- Статья 3. Определения
Статья 3. Определения
Статья 3
Определения
В целях настоящего Регламента применяются следующие определения:
(1) под "цифровой операционной устойчивостью" понимается способность финансовой организации создавать, гарантировать и оценивать свою операционную целостность и надежность путем обеспечения, прямо или косвенно, посредством использования сервисов, предоставленных сторонними поставщиками услуг ICT, всего спектра связанных с ICT возможностей, необходимых для обеспечения безопасности сетевых и информационных систем, которые использует финансовая организация и которые поддерживают непрерывное оказание финансовых услуг и их качество, в том числе во время сбоев;
(2) под "сетевой и информационной системой" понимается сетевая и информационная система, как определено в пункте 1 Статьи 6 Директивы (ЕС) 2022/2555;
(3) под "унаследованной системой ICT" понимается система ICT, которая достигла окончания своего жизненного цикла (окончания срока службы), которая недоступна для обновлений или исправлений по технологическим или коммерческим причинам или которая более не поддерживается ее поставщиком или сторонним поставщиком услуг ICT, но которая по-прежнему используется и поддерживает функции финансовой организации;
(4) под "безопасностью сетевых и информационных систем" понимается безопасность сетевых и информационных систем, как определено в пункте 2 Статьи 6 Директивы (ЕС) 2022/2555;
(5) под "ICT-риском" понимается любое разумно идентифицируемое обстоятельство в связи с использованием сетевых и информационных систем, которое в случае его возникновения может поставить под угрозу безопасность сетевых и информационных систем, любого зависящего от технологии инструмента или процесса, операций и процессов или оказания услуг из-за создания неблагоприятных последствий в цифровой или физической среде;
(6) под "информационным активом" понимается совокупность материальной или нематериальной информации, которую целесообразно защищать;
(7) под "ICT-активом" понимается программный или аппаратный ресурс в сетевых и информационных системах, используемых финансовой организацией;
(8) под "инцидентом, связанным с ICT" понимается отдельное событие или серия связанных событий, незапланированных финансовой организацией, которые ставят под угрозу безопасность сетевых и информационных систем и оказывают неблагоприятное воздействие на доступность, подлинность, целостность или конфиденциальность данных или на услуги, оказываемые финансовой организацией;
(9) под "инцидентом, связанным с операционным или обеспечительным платежом" понимается отдельное событие или серия связанных событий, незапланированных финансовыми организациями, указанными в пунктах (a) - (d) Статьи 2 настоящего Регламента, независимо от того, связаны ли такие инциденты с ICT или нет, которые оказывают неблагоприятное воздействие на доступность, подлинность, целостность или конфиденциальность связанных с платежами данных или на связанные с платежами услуги, оказываемые финансовой организацией;
(10) под "крупным инцидентом, связанным с ICT" понимается инцидент, связанный с ICT, который оказывает сильное неблагоприятное воздействие на сетевые и информационные системы, поддерживающие выполнение критических или важных функций финансовой организации;
11) под "крупным инцидентом, связанным с операционным или обеспечительным платежом" понимается инцидент, связанный с операционным или обеспечительным платежом, который оказывает сильное неблагоприятное воздействие на предоставляемые услуги, связанные с платежами;
(12) под "киберугрозой" понимается "киберугроза", как определено в пункте (8) Статьи 2 Регламента (ЕС) 2019/881;
(13) под "существенной киберугрозой" понимается киберугроза, технические характеристики которой указывают на то, что она потенциально может привести к возникновению крупного инцидента, связанного с ICT, или крупного инцидента, связанного с операционным или обеспечительным платежом;
(14) под "кибератакой" понимается злонамеренный инцидент, связанный с ICT, вызванный попыткой любого злоумышленника уничтожить, разоблачить, изменить, вывести из строя, украсть или получить несанкционированный доступ к активу или возможность несанкционированного использования актива;
(15) под "аналитическими данными и информацией об угрозах" понимается информация, которая была собрана, преобразована, проанализирована, истолкована или дополнена для обеспечения необходимого контекста при принятии решений и для обеспечения соответствующего и достаточного понимания в целях минимизации последствий инцидента, связанного с ICT, или киберугрозы, включая технические данные о кибератаке, о лицах, ответственных за атаку, об их методах и мотивах;
(16) под "уязвимостью" понимается слабость, восприимчивость или недостаток актива, системы, процесса или средства контроля, которые могут подвергнуться злоупотреблениям;
(17) под "обусловленным угрозой испытанием на проникновение (TLPT)" понимается программа, симулирующая тактику, методы и способы действия реальных злоумышленников, воспринимаемых как представляющие реальную киберугрозу, которая обеспечивает контролируемое, индивидуальное, основанное на анализе угроз и выполняемое внешними экспертами ("красными" командами) испытание стратегических производственных систем финансовой организации;
(18) под "ICT-риском третьей стороны" понимается ICT-риск, который может возникнуть у финансовой организации в связи с использованием ею услуг ICT, предоставляемых сторонними поставщиками услуг ICT или их субподрядчиками, в том числе посредством соглашений об аутсорсинге;
(19) под "сторонним поставщиком услуг ICT" понимается предприятие, предоставляющее услуги ICT;
(20) под "внутригрупповым поставщиком услуг ICT" понимается предприятие, которое является частью финансовой группы и преимущественно оказывает услуги ICT финансовым организациям, входящим в состав той же группы, или финансовым организациям, относящимся к одному и тому же институциональному механизму защиты, в том числе их материнским компаниям, дочерним компаниям, филиалам или другим юридическим лицам, находящимся с ними в общей собственности или под общим контролем;
(21) под "услугами ICT" понимаются цифровые услуги и услуги передачи данных, оказываемые посредством ICT-систем одному или нескольким внутренним или внешним пользователям на постоянной основе, включая аппаратное обеспечение как услугу и обслуживание оборудования, что включает в себя оказание технической поддержки посредством обновления программного обеспечения или прошивки поставщиком оборудования, за исключением услуг традиционной аналоговой телефонной связи;
(22) под "критической или важной функцией" понимается функция, нарушение которой может существенно ухудшить финансовые результаты финансовой организации либо надежность или непрерывность ее услуг и деятельности; либо функция, прекращение, ошибочное применение или неприменение которой может существенно нарушить непрерывное соблюдение финансовой организацией условий и обязательств выданного ей разрешения или других обязательств в соответствии с применимым законодательством о финансовых услугах;
(23) под "стратегическим сторонним поставщиком услуг ICT" понимается сторонний поставщик услуг ICT, которому присвоен статус стратегического в соответствии со Статьей 31 настоящего Регламента;
(24) под "сторонним поставщиком услуг ICT, учрежденным в третьей стране" понимается сторонний поставщик услуг ICT, который является юридическим лицом, учрежденным в третьей стране, и который заключил договор с финансовой организацией на оказание услуг ICT;
(25) под "дочерней компанией" понимается дочерняя компания в значении пункта (10) Статьи 2 и Статьи 22 Директивы 2013/34/ЕС;
(26) под "группой" понимается группа, как определено в пункте (11) Статьи 2 Директивы 2013/34/ЕС;
(27) под "материнской компанией" понимается материнская компания в значении пункта (9) Статьи 2 и Статьи 22 Директивы 2013/34/ЕС;
(28) под "субподрядчиком по услугам ICT, учрежденным в третьей стране" понимается субподрядчик по услугам ICT, который является юридическим лицом, учрежденным в третьей стране, и который заключил договор со сторонним поставщиком услуг ICT или со сторонним поставщиком услуг ICT, учрежденным в третьей стране;
(29) под "риском концентрации ICT" понимается нахождение под воздействием отдельных или нескольких связанных стратегических сторонних поставщиков услуг ICT, что создает такую степень зависимости от этих поставщиков, что недоступность, сбой или иная неработоспособность такого поставщика потенциально могут поставить под угрозу способность финансовой организации выполнять критические или важные функции либо привести к иным неблагоприятным последствиям, включая крупные потери, либо поставить под угрозу финансовую стабильность Европейского Союза в целом;
(30) под "органом управления" понимается орган управления, как определено в пункте (36) Статьи 4(1) Директивы 2014/65/ЕС, пункте (7) Статьи 3(1) Директивы 2013/36/ЕС, пункте (s) Статьи 2(1) Директивы 2009/65/ЕС Европейского Парламента и Совета ЕС*(33), пункте (45) Статьи 2(1) Регламента (ЕС) 909/2014, пункте (20) Статьи 3(1) Регламента (ЕС) 2016/1011, а также в соответствующих положениях Регламента о рынках криптоактивов, либо аналогичное лицо, которое фактически управляет организацией или выполняет ключевые функции согласно соответствующему законодательству Европейского Союза или национальному законодательству;
(31) под "кредитной организацией" понимается кредитная организация, как определено в пункте (1) Статьи 4(1) Регламента (ЕС) 575/2013 Европейского Парламента и Совета ЕС*(34);
(32) под "организацией, получившей освобождение в соответствии с Директивой 2013/36/ЕС" понимается любая из организаций, указанных в пунктах (4) - (23) Статьи 2(5) Директивы 2013/36/ЕС;
(33) под "инвестиционной фирмой" понимается инвестиционная фирма, как определено в пункте (1) Статьи 4(1) Директивы 2014/65/ЕС;
(34) под "малой и невзаимосвязанной инвестиционной фирмой" понимается инвестиционная фирма, которая отвечает условиям, изложенным в Статье 12(1) Регламента (ЕС) 2019/2033 Европейского Парламента и Совета ЕС*(35);
(35) под "платежной организацией" понимается платежная организация, как определено в пункте (4) Статьи 4 Директивы (ЕС) 2015/2366;
(36) под "платежной организацией, получившей освобождение в соответствии с Директивой (ЕС) 2015/2366" понимается платежная организация, получившая освобождение в соответствии со Статьей 32(1) Директивы (ЕС) 2015/2366;
(37) под "оператором доступа к информации по счетам пользователей" понимается оператор доступа к информации по счетам пользователей, как указано в Статье 33(1) Директивы (ЕС) 2015/2366;
(38) под "эмитентом электронных денег" понимается эмитент электронных денег, как определено в пункте (1) Статьи 2 Директивы 2009/110/ЕС Европейского Парламента и Совета ЕС;
(39) под "эмитентом электронных денег, получившим освобождение в соответствии с Директивой 2009/110/ЕС" понимается эмитент электронных денег, пользующийся освобождением в соответствии со Статьей 9(1) Директивы 2009/110/ЕС;
(40) под "центральным контрагентом" понимается центральный контрагент, как определено в пункте (1) Статьи 2 Регламента (ЕС) 648/2012;
(41) под "торговым репозитарием" понимается торговый репозитарий, как определено в пункте (2) Статьи 2 Регламента (ЕС) 648/2012;
(42) под "центральным депозитарием ценных бумаг" понимается центральный депозитарий ценных бумаг, как определено в пункте (1) Статьи 2(1) Регламента (ЕС) 909/2014;
(43) под "торговой площадкой" понимается торговая площадка, как определено в пункте (24) Статьи 4(1) Директивы 2014/65/ЕС;
(44) под "менеджером альтернативного инвестиционного фонда" понимается менеджер альтернативного инвестиционного фонда, как определено в пункте (b) Статьи 4(1) Директивы 2011/61/ЕС;
(45) под "управляющей компанией" понимается управляющая компания, как определено в пункте (b) Статьи 2(1) Директивы 2009/65/ЕС;
(46) под "поставщиком услуг по предоставлению отчетности" понимается поставщик услуг по предоставлению отчетности в значении Регламента (ЕС) 600/2014, в частности как указано в пунктах (34) - (36) Статьи 2(1);
(47) под "страховой компанией" понимается страховая компания, как определено в пункте (1) Статьи 13 Директивы 2009/138/ЕС;
(48) под "организацией по перестрахованию" понимается организация по перестрахованию, как определено в пункте (4) Статьи 13 Директивы 2009/138/ЕС;
(49) под "посредником в области страхования" понимается посредник в области страхования, как определено в пункте (3) Статьи 2(1) Директивы (ЕС) 2016/97 Европейского Парламента и Совета ЕС*(36);
(50) под "посредником в области дополнительного страхования" понимается посредник в области дополнительного страхования, как определено в пункте (4) Статьи 2(1) Директивы (ЕС) 2016/97;
(51) под "посредником в области перестрахования" понимается посредник в области перестрахования, как определено в пункте (5) Статьи 2(1) Директивы (ЕС) 2016/97;
(52) под "учреждением профессионального пенсионного страхования" понимается учреждение профессионального пенсионного страхования, как определено в пункте 1 Статьи 6 Директивы (ЕС) 2016/2341;
(53) под "малым учреждением профессионального пенсионного страхования" понимается учреждение профессионального пенсионного страхования, которое управляет программами пенсионного обеспечения, насчитывающими в общей сложности менее 100 членов;
(54) под "кредитным рейтинговым агентством" понимается кредитное рейтинговое агентство, как определено в пункте (b) Статьи 3(1) Регламента (ЕС) 1060/2009;
(55) под "поставщиком услуг в области криптоактивов" понимается поставщик услуг в области криптоактивов, как определено в соответствующих положениях Регламента о рынках криптоактивов;
(56) под "эмитентом токенов, привязанных к стоимости активов" понимается эмитент токенов, привязанных к стоимости активов, как определено в соответствующих положениях Регламента о рынках криптоактивов;
(57) под "администратором критических бенчмарков" понимается администратор "критических бенчмарков", как определено в пункте (25) Статьи 3(1) Регламента (ЕС) 2016/1011;
(58) под "поставщиком услуг краудфандинга" понимается поставщик услуг краудфандинга, как определено в пункте (e) Статьи 2(1) Регламента (ЕС) 2020/1503 Европейского Парламента и Совета ЕС*(37);
(59) под "репозитарием секьюритизации" понимается репозитарий секьюритизации, как определено в пункте (23) Статьи 2 Регламента (ЕС) 2017/2402 Европейского Парламента и Совета ЕС*(38);
(60) под "микропредприятием" понимается финансовая организация, за исключением торговой площадки, центрального контрагента, торгового репозитария или центрального депозитария ценных бумаг, численностью менее 10 человек, годовой оборот и/или совокупный годовой баланс которой не превышает 2 млн евро;
(61) под "Ведущим контролером" понимается Европейский надзорный орган, назначенный в соответствии с пунктом (b) Статьи 31(1) настоящего Регламента;
(62) под "Совместным комитетом" понимается комитет, указанный в Статье 54 Регламентов (ЕС) 1093/2010, (ЕС) 1094/2010 и (ЕС) 1095/2010;
(63) под "малым предприятием" понимается финансовая организация численностью 10 человек или более, но менее 50 человек, годовой оборот и/или совокупный годовой баланс которой превышает 2 млн евро, но не превышает 10 млн евро;
(64) под "средним предприятием" понимается финансовая организация, которая не является малым предприятием, численность которой составляет менее 250 человек и годовой оборот которой не превышает 50 млн евро и/или годовой баланс которой не превышает 43 млн евро;
(65) под "органом власти" понимается любой правительственный или иной орган государственного управления, включая национальные центральные банки.