Статья 6. Система управления ICT-рисками. Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14.12.2022 о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011

Статья 6
Система управления ICT-рисками

1. Финансовые организации должны внедрить надежную, комплексную и хорошо обоснованную систему управления ICT-рисками в рамках их общей системы управления рисками, которая позволит им своевременно, эффективно и всесторонне реагировать на ICT-риски и обеспечивать высокий уровень цифровой операционной устойчивости.

2. Система управления ICT-рисками должна включать в себя как минимум стратегии, правила, процедуры, протоколы и инструменты ICT, которые необходимы для надлежащей защиты всех информационных активов и ICT-активов, включая компьютерное программное обеспечение, аппаратное обеспечение, серверы, а также для защиты всех соответствующих физических компонентов и инфраструктур, в частности помещений, центров обработки данных и специально отведенных зон с ограниченным доступом для обеспечения надлежащей защиты всех информационных активов и ICT-активов от рисков, включая повреждение и несанкционированный доступ или использование.

3. В соответствии со своей системой управления ICT-рисками финансовые организации должны свести к минимуму влияние ICT-рисков путем внедрения соответствующих стратегий, правил, процедур, протоколов и инструментов ICT. Они должны предоставлять полную и актуальную информацию об ICT-рисках и о своей системе управления ICT-рисками компетентным органам по их запросу.

4. Финансовые организации, за исключением микропредприятий, должны возложить ответственность за управление ICT-рисками и надзор за ними на подразделение по контролю и обеспечивать надлежащий уровень независимости такого подразделения во избежание конфликта интересов. Финансовые организации должны обеспечить надлежащее разделение и независимость подразделений по управлению ICT-рисками, подразделений по контролю и подразделений по проведению внутреннего аудита в соответствии с моделью трех линий защиты или моделью внутреннего управления рисками и контроля.

5. Система управления ICT-рисками должна подтверждаться документами и пересматриваться не реже одного раза в год или периодически в случае микропредприятий, а также при возникновении крупных инцидентов, связанных с ICT, и в соответствии с инструкциями надзорного органа или выводами, полученными в результате соответствующих испытаний на цифровую операционную устойчивость или в результате аудита. Такая система должна постоянно совершенствоваться с учетом опыта, полученного при ее реализации и мониторинге. Отчет о пересмотре системы управления ICT-рисками должен быть представлен компетентному органу по его запросу.

6. Система управления ICT-рисками финансовых организаций, за исключением микропредприятий, должна регулярно проходить внутренний аудит со стороны аудиторов в соответствии с планом аудита финансовых организаций. Такие аудиторы должны обладать достаточными знаниями, навыками и опытом в области ICT-рисков, а также соответствующей независимостью. Частота и направленность аудитов в области ICT должны быть соразмерны ICT-рискам финансовой организации.

7. На основе выводов внутренней аудиторский проверки финансовые организации должны установить официальный порядок проведения последующих мероприятий, включая правила своевременной проверки и устранения недостатков по принципиально значимым выводам аудита в области ICT.

8. Система управления ICT-рисками должна включать в себя стратегию в отношении цифровой операционной устойчивости, определяющую способ реализации такой стратегии. В указанных целях стратегия в области цифровой операционной устойчивости должна предусматривать методы устранения ICT-рисков и достижения конкретных целей в области ICT путем:

(a) объяснения того, каким образом система управления ICT-рисками поддерживает бизнес-стратегию и цели финансовой организации;

(b) установления допустимого уровня ICT-рисков в соответствии с готовностью финансовой организации принять риск, а также путем анализа допустимого уровня воздействия при нарушениях в работе ICT;

(c) определения четких целей информационной безопасности, включая ключевые показатели эффективности и ключевые параметры риска;

(d) пояснения эталонной архитектуры ICT и любых изменений, необходимых для достижения конкретных бизнес-целей;

(e) описания различных механизмов, созданных для обнаружения инцидентов, связанных с ICT, предотвращения их воздействия и обеспечения защиты от них;

(f) документального подтверждения текущей ситуации в области цифровой операционной устойчивости на основе количества зарегистрированных крупных инцидентов, связанных с ICT, и эффективности превентивных мер;

(g) проведения испытаний на цифровую операционную устойчивость в соответствии с Главой IV настоящего Регламента;

(h) определения коммуникационной стратегии на случай инцидентов, связанных с ICT, раскрытие которых требуется в соответствии со Статьей 14 настоящего Регламента.

9. Финансовые организации в рамках стратегии в отношении цифровой операционной устойчивости, указанной в параграфе 8 настоящей Статьи, могут определить комплексную стратегию использования ICT разных производителей на уровне группы или организации, отражающую основные виды зависимости от сторонних поставщиков услуг ICT и обосновывающую необходимость закупок у нескольких сторонних поставщиков услуг ICT.

10. Финансовые организации вправе в соответствии с законодательством Европейского Союза и национальным отраслевым законодательством передавать задачи по проверке соблюдения требований в области управления ICT-рисками на аутсорсинг внутригрупповым или внешним предприятиям. В случае такого аутсорсинга финансовая организация несет полную ответственность за проверку соблюдения требований в области управления ICT-рисками.