Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава V. Управление ICT-рисками третьих сторон
- Раздел II. Система надзора стратегических сторонних поставщиков услуг ICT
- Статья 33. Задачи Ведущего контролера
Статья 33. Задачи Ведущего контролера
Статья 33
Задачи Ведущего контролера
1. Ведущий контролер, назначаемый в соответствии с пунктом (b) Статьи 31(1) настоящего Регламента, должен осуществлять надзор в отношении закрепленных за ним стратегических сторонних поставщиков услуг ICT и являться основным контактным центром для таких стратегических сторонних поставщиков услуг ICT по всем вопросам, связанным с проведением надзора.
2. В целях параграфа 1 настоящей Статьи Ведущий контролер должен оценить, внедрил ли каждый стратегический сторонний поставщик услуг ICT всеобъемлющие, надежные и эффективные правила, процедуры, механизмы и договоренности для управления ICT-рисками, которые он может представлять для финансовых организаций.
Оценка, указанная в первом подпараграфе, должна быть главным образом направлена на услуги ICT, оказываемые стратегическим сторонним поставщиком услуг ICT, которые поддерживают выполнение критических или важных функций финансовых организаций. При необходимости устранения всех соответствующих рисков такая оценка должна распространяться на услуги ICT, которые поддерживают выполнение функций, не являющихся критическими или важными.
3. Оценка, указанная в параграфе 2 настоящей Статьи, должна охватывать:
(a) требования, чтобы ICT обеспечивали, в частности, безопасность, доступность, непрерывность, масштабируемость и качество услуг, которые стратегический сторонний поставщик услуг ICT оказывает финансовым организациям, а также способность постоянно поддерживать высокие стандарты доступности, аутентичности, целостности или конфиденциальности данных;
(b) физическую безопасность, способствующую обеспечению безопасности ICT, в том числе безопасность помещений, объектов, центров обработки данных;
(c) процессы управления рисками, включая политику управления ICT-рисками, политику обеспечения непрерывности деятельности в сфере ICT и планы по реагированию и восстановлению ICT;
(d) механизмы управления, включая организационную структуру с четкими, прозрачными и последовательными сферами ответственности и правилами подотчетности, обеспечивающие эффективное управление ICT-рисками;
(е) выявление, мониторинг и оперативное сообщение о существенных инцидентах, связанных с ICT, финансовым организациям, управление и устранение таких инцидентов, в частности кибератак;
(f) механизмы переноса данных, переноса приложений и функциональной совместимости, обеспечивающие эффективное осуществление финансовыми организациями прав на прекращение договорных отношений;
(g) испытания систем, инфраструктуры и средств контроля ICT;
(h) аудиты в отношении ICT;
(i) использование соответствующих национальных и международных стандартов, применимых к предоставлению услуг ICT финансовым организациям.
4. На основании оценки, указанной в параграфе 2 настоящей Статьи, и в сотрудничестве с Совместной надзорной сетью (JON), указанной в Статье 34(1) настоящего Регламента, Ведущий контролер должен принять четкий, подробный и обоснованный индивидуальный план надзора с описанием ежегодных целей надзора и основных надзорных мероприятий, запланированных в отношении каждого стратегического стороннего поставщика услуг ICT. Такой план необходимо ежегодно доводить до сведения стратегического стороннего поставщика услуг ICT.
До принятия плана надзора Ведущий контролер должен передать проект такого плана стратегическому стороннему поставщику услуг ICT.
По получении проекта плана надзора стратегический сторонний поставщик услуг ICT может в течение 15 календарных дней представить обоснованное заявление, подтверждающее ожидаемое воздействие на клиентов, которые не подпадают под действие настоящего Регламента, и, при необходимости, предлагающее решения по снижению рисков.
5. После принятия и доведения до сведения стратегических сторонних поставщиков услуг ICT ежегодных планов надзора, указанных в параграфе 4 настоящей Статьи, компетентные органы могут принимать меры в отношении таких стратегических сторонних поставщиков услуг ICT только по согласованию с Ведущим контролером.