Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава II. Управление ICT-рисками
- Раздел II
- Статья 6. Система управления ICT-рисками
Статья 6. Система управления ICT-рисками
Статья 6
Система управления ICT-рисками
1. Финансовые организации должны внедрить надежную, комплексную и хорошо обоснованную систему управления ICT-рисками в рамках их общей системы управления рисками, которая позволит им своевременно, эффективно и всесторонне реагировать на ICT-риски и обеспечивать высокий уровень цифровой операционной устойчивости.
2. Система управления ICT-рисками должна включать в себя как минимум стратегии, правила, процедуры, протоколы и инструменты ICT, которые необходимы для надлежащей защиты всех информационных активов и ICT-активов, включая компьютерное программное обеспечение, аппаратное обеспечение, серверы, а также для защиты всех соответствующих физических компонентов и инфраструктур, в частности помещений, центров обработки данных и специально отведенных зон с ограниченным доступом для обеспечения надлежащей защиты всех информационных активов и ICT-активов от рисков, включая повреждение и несанкционированный доступ или использование.
3. В соответствии со своей системой управления ICT-рисками финансовые организации должны свести к минимуму влияние ICT-рисков путем внедрения соответствующих стратегий, правил, процедур, протоколов и инструментов ICT. Они должны предоставлять полную и актуальную информацию об ICT-рисках и о своей системе управления ICT-рисками компетентным органам по их запросу.
4. Финансовые организации, за исключением микропредприятий, должны возложить ответственность за управление ICT-рисками и надзор за ними на подразделение по контролю и обеспечивать надлежащий уровень независимости такого подразделения во избежание конфликта интересов. Финансовые организации должны обеспечить надлежащее разделение и независимость подразделений по управлению ICT-рисками, подразделений по контролю и подразделений по проведению внутреннего аудита в соответствии с моделью трех линий защиты или моделью внутреннего управления рисками и контроля.
5. Система управления ICT-рисками должна подтверждаться документами и пересматриваться не реже одного раза в год или периодически в случае микропредприятий, а также при возникновении крупных инцидентов, связанных с ICT, и в соответствии с инструкциями надзорного органа или выводами, полученными в результате соответствующих испытаний на цифровую операционную устойчивость или в результате аудита. Такая система должна постоянно совершенствоваться с учетом опыта, полученного при ее реализации и мониторинге. Отчет о пересмотре системы управления ICT-рисками должен быть представлен компетентному органу по его запросу.
6. Система управления ICT-рисками финансовых организаций, за исключением микропредприятий, должна регулярно проходить внутренний аудит со стороны аудиторов в соответствии с планом аудита финансовых организаций. Такие аудиторы должны обладать достаточными знаниями, навыками и опытом в области ICT-рисков, а также соответствующей независимостью. Частота и направленность аудитов в области ICT должны быть соразмерны ICT-рискам финансовой организации.
7. На основе выводов внутренней аудиторский проверки финансовые организации должны установить официальный порядок проведения последующих мероприятий, включая правила своевременной проверки и устранения недостатков по принципиально значимым выводам аудита в области ICT.
8. Система управления ICT-рисками должна включать в себя стратегию в отношении цифровой операционной устойчивости, определяющую способ реализации такой стратегии. В указанных целях стратегия в области цифровой операционной устойчивости должна предусматривать методы устранения ICT-рисков и достижения конкретных целей в области ICT путем:
(a) объяснения того, каким образом система управления ICT-рисками поддерживает бизнес-стратегию и цели финансовой организации;
(b) установления допустимого уровня ICT-рисков в соответствии с готовностью финансовой организации принять риск, а также путем анализа допустимого уровня воздействия при наруше