Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава II. Управление ICT-рисками
- Раздел II
- Статья 16. Упрощенная система управления ICT-рисками
Статья 16. Упрощенная система управления ICT-рисками
Статья 16
Упрощенная система управления ICT-рисками
1. Статьи 5-15 настоящего Регламента не применяются к малым и невзаимосвязанным инвестиционным фирмам, платежным организациям, получившим освобождение в соответствии с Директивой (ЕС) 2015/2366; организациям, получившим освобождение в соответствии с Директивой 2013/36/ЕС, в отношении которых государства-члены ЕС не воспользовались правом, предусмотренным Статьей 2(4) настоящего Регламента; эмитентам электронных денег, получившим освобождение в соответствии с Директивой 2009/110/EC; и к малым учреждениям профессионального пенсионного страхования.
Без ущерба для первого подпараграфа организации, указанные в первом подпараграфе, должны:
(a) внедрить и поддерживать надежную и документально подтвержденную систему управления ICT-рисками, в которой подробно описаны механизмы и меры, направленные на своевременное, эффективное и комплексное управление ICT-рисками, в том числе для защиты соответствующих физических компонентов и инфраструктур;
(b) осуществлять постоянный мониторинг безопасности и функционирования всех систем ICT;
(c) минимизировать влияние ICT-рисков за счет использования надежных, устойчивых и актуальных систем, протоколов и инструментов ICT, которые являются надлежащими для того, чтобы поддерживать их деятельность и оказание услуг, и обеспечивают надлежащую защиту доступности, подлинности, целостности и конфиденциальности данных в сетевых и информационных системах;
(d) обеспечивать оперативное выявление и обнаружение источников ICT-рисков и аномалий в сетевых и информационных системах, а также оперативное устранение инцидентов, связанных с ICT;
(e) выявлять ключевые случаи зависимости от сторонних поставщиков услуг ICT;
(f) обеспечивать непрерывность критических или важных функций посредством планов по обеспечению непрерывности бизнеса и мер по реагированию и восстановлению, которые предусматривают как минимум резервное копирование и меры по восстановлению;
(g) регулярно подвергать испытаниям планы и меры, указанные в пункте (f), а также эффективность механизмов контроля, внедренных в соответствии с пунктами (a) и (c) настоящего параграфа;
(h) внедрять при необходимости соответствующие оперативные выводы, полученные в результате проведения испытаний, указанных в пункте (g) настоящего параграфа, и в результате анализа процессов оценки ICT-рисков, проведенного после инцидента, а также разработать в соответствии с потребностями и профилем ICT-рисков, программы повышения осведомленности о безопасности ICT и программы обучения в области цифровой операционной устойчивости для сотрудников и руководящего персонала.
2. Система управления ICT-рисками, указанная в пункте (a) второго подпараграфа параграфа 1 настоящей Статьи, должна быть подтверждена документами и пересматриваться периодически, а также при возникновении крупных инцидентов, связанных с ICT, в соответствии с инструкциями надзорного органа. Такая система должна постоянно совершенствоваться на основе опыта, извлеченного из ее внедрения и мониторинга. Отчет о пересмотре системы управления ICT-рисками должен быть представлен компетентному органу по его запросу.
3. ESA должны в рамках Совместного комитета и посредством консультаций с ENISA разработать общие проекты регулятивных технических стандартов в целях:
(a) дальнейшего уточнения элементов, которые должны быть включены в систему управления ICT-рисками, указанную в пункте (a) второго подпараграфа параграфа 1 настоящей Статьи;
(b) дальнейшего уточнения элементов в отношении систем, протоколов и инструментов для минимизации воздействия ICT-рисков, указанных в пункте (c) второго подпараграфа параграфа 1 настоящей Статьи, для обеспечения безопасности сетей, надлежащих гарантий против вторжения и неправомерного использования данных, а также для сохранения доступности, подлинности, целостности и конфиденциальности данных;
(c) дальнейшего уточнения элементов планов по обеспечению непрерывности деятельности в сфере ICT, указанных в пункте (f) второго подпараграфа параграфа 1 настоящей Статьи;
(d) дальнейшего уточнения норм о проведении испытаний планов по обеспечению непрерывности бизнеса и для обеспечения эффективности контрольных механизмов, указанных в пункте (g) второго подпараграфа параграфа 1 настоящей Статьи, а также для обеспечения того, чтобы такие испытания должным образом учитывали сценарии, в которых качество выполнения критической или важной функции ухудшается до неприемлемого уровня или ее выполнение нарушается;
(e) дальнейшего уточнения содержания и формата отчетов о пересмотре системы управления ICT-рисками, указанной в параграфе 2 настоящей Статьи.
При разработке таких проектов регулятивных технических стандартов ESA должны принимать во внимание размер и общий профиль риска финансовой организации, а также характер, масштаб и сложность ее услуг, деятельности и операций.
ESA должны представить такие проекты регулятивных технических стандартов Европейской Комиссии не позднее 17 января 2024 г.
Европейской Комиссии делегированы полномочия по дополнению настоящего Регламента путем принятия регулятивных технических стандартов, указанных в первом подпараграфе, в соответствии со Статьями 10-14 Регламентов (ЕС) 1093/2010, (ЕС) 1094/2010 и (ЕС) 1095/2010.