Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава III. Управление инцидентами, связанными с ICT, их классификация и представление отчетности по ним
- Статья 19. Представление отчетности о крупных инцидентах, связанных с ICT, и добровольное уведомление о существенных киберугрозах
Статья 19. Представление отчетности о крупных инцидентах, связанных с ICT, и добровольное уведомление о существенных киберугрозах
Статья 19
Представление отчетности о крупных инцидентах, связанных с ICT, и добровольное уведомление о существенных киберугрозах
1. Финансовые организации должны сообщать о крупных инцидентах, связанных с ICT, в соответствующий компетентный орган, как указано в Статье 46 настоящего Регламента, в соответствии с параграфом 4 настоящей Статьи.
Если финансовая организация подлежит надзору со стороны нескольких национальных компетентных органов, указанных в Статье 46 настоящего Регламента, то государства-члены ЕС должны назначить один компетентный орган в качестве соответствующего компетентного органа, ответственного за выполнение функций и обязанностей, предусмотренных настоящей Статьей.
Кредитные организации, признанные значимыми в соответствии со Статьей 6(4) Регламента (ЕС) 1024/2013, должны сообщать о крупных инцидентах, связанных с ICT, в соответствующий национальный компетентный орган, назначенный согласно Статье 4 Директивы 2013/36/ЕС, который должен незамедлительно передать такой отчет в ECB.
В целях первого подпараграфа финансовые организации после сбора и анализа всей релевантной информации должны составить первичное уведомление и отчеты, указанные в параграфе 4 настоящей Статьи, с использованием шаблонов, указанных в Статье 20 настоящего Регламента, и представить их в компетентный орган. В случае технической невозможности представить первичное уведомление с использованием шаблона финансовые организации должны уведомить компетентный орган альтернативными способами.
Первичное уведомление и отчеты, указанные в параграфе 4 настоящей Статьи, должны включать в себя всю информацию, необходимую компетентному органу для определения степени существенности крупного инцидента, связанного с ICT, и оценки возможного трансграничного воздействия.
Без ущерба для предоставления финансовой организацией отчетности в соответствии с первым подпараграфом соответствующему компетентному органу, государства-члены ЕС могут дополнительно установить, что некоторые или все финансовые организации должны также направлять первичное уведомление и каждый отчет, указанный в параграфе 4 настоящей Статьи, с использованием шаблонов, указанных в Статье 20 настоящего Регламента, компетентным органам или группам реагирования на инциденты, связанные с компьютерной безопасностью (CSIRT), назначенным или учрежденным в соответствии с Директивой (ЕС) 2022/2555.
2. Финансовые организации могут в добровольном порядке уведомлять о существенных киберугрозах соответствующий компетентный орган, если, по их мнению, киберугроза представляет значимость для финансовой системы, пользователей услуг или для клиентов. Соответствующий компетентный орган может предоставить такую информацию другим соответствующим органам, указанным в параграфе 6 настоящей Статьи.
Кредитные организации, признанные значимыми в соответствии со Статьей 6(4) Регламента (ЕС) 1024/2013, могут в добровольном порядке уведомлять о существенных киберугрозах соответствующий национальный компетентный орган, назначенный согласно Статье 4 Директивы 2013/36/ЕС, который должен незамедлительно передать такое уведомление в ECB.
Государства-члены ЕС вправе установить, что те финансовые организации, которые в добровольном порядке направляют уведомления в соответствии с первым подпараграфом, также могут направлять такое уведомление CSIRT, назначенным или учрежденным в соответствии с Директивой (ЕС) 2022/2555.
3. При возникновении крупного инцидента, связанного с ICT, который затрагивает финансовые интересы клиентов, финансовые организации должны без лишнего промедления, как только им станет известно об этом, уведомлять своих клиентов о крупном инциденте, связанном с ICT, и о мерах, которые были приняты для минимизации неблагоприятных последствий такого инцидента.
В случае существенной киберугрозы финансовые организации должны, если применимо, уведомить своих клиентов, которые потенциально могут быть затронуты такой угрозой, о любых надлежащих мерах защиты, которые они могут принять.
4. В сроки, которые должны быть установлены в соответствии с подпунктом (ii) пункта (a) первого подпараграфа Статьи 20 настоящего Регламента, финансовые организации должны представить соответствующему компетентному органу следующие документы:
(a) первичное уведомление;
(b) предварительный отчет после первичного уведомления, указанного в пункте (a), как только произойдут существенные изменения в статусе первоначального инцидента или изменения в способе устранения крупного инцидента, связанного с ICT, на основе новой доступной информации, сопровождая его, если это целесообразно, обновленными уведомлениями всякий раз при актуализации соответствующего статуса, а также по конкретному запросу компетентного органа;
(c) окончательный отчет по завершении анализа основных причин независимо от того, были ли внедрены меры по минимизации последствий, а также при доступности показателей фактического воздействия вместо ориентировочных оценок.
5. Финансовые организации в соответствии с законодательством Европейского Союза и национальным отраслевым законодательством могут передавать обязательства по представлению отчетности, предусмотренные настоящей Статьей, стороннему поставщику услуг. В случае такой передачи обязательств финансовая организация несет полную ответственность за выполнение требований к представлению отчетности об инцидентах.
6. После получения первичного уведомления и каждого отчета, указанного в параграфе 4 настоящей Статьи, компетентный орган должен своевременно направить подробную информацию о крупном инциденте, связанном с ICT, следующим получателям с учетом, если применимо, их соответствующей компетенции:
(a) EBA, ESMA или EIOPA;
(b) ECB в случае финансовых организаций, указанных в пунктах(a), (b) и (d) Статьи 2(1) настоящего Регламента;
(c) компетентным органам, единым контактным центрам или CSIRT, назначенным или учрежденным в соответствии с Директивой (ЕС) 2022/2555;
(d) органам по финансовому оздоровлению, как указано в Статье 3 Директивы 2014/59/ЕС, и Единому совету по финансовому оздоровлению (SRB) в отношении организаций, указанных в Статье 7(2) Регламента (ЕС) 806/2014 Европейского Парламента и Совета ЕС*(39) и в отношении организаций и групп, указанных в Статье 7(4)(b) и (5) Регламента (ЕС) 806/2014, если релевантная подробная информация касается инцидентов, которые представляют риск для обеспечения выполнения критических функций в значении пункта (35) Статьи 2(1) Директивы 2014/59/ЕС; и
(e) другим соответствующим органам власти согласно национальному законодательству.
7. После получения информации в соответствии с параграфом 6 настоящей Статьи EBA, ESMA или EIOPA и ECB в порядке консультаций с ENISA и в сотрудничестве с соответствующим компетентным органом должны оценить, является ли крупный инцидент, связанный с ICT, значимым для компетентных органов других государств-членов ЕС. После проведения такой оценки EBA, ESMA или EIOPA должны в кратчайшие сроки уведомить соответствующие компетентные органы других государств-членов ЕС. ECB уведомляет членов Европейской системы центральных банков по вопросам, касающимся платежной системы. На основании такого уведомления компетентные органы должны при необходимости принять все необходимые меры для защиты непосредственной стабильности финансовой системы.
8. Уведомление, которое должно быть направлено в ESMA в соответствии с параграфом 7 настоящей Статьи, не должно затрагивать обязанность компетентного органа незамедлительно сообщать подробную информацию о крупном инциденте, связанном с ICT, соответствующему органу в принимающем государстве-члене ЕС, если центральный депозитарий ценных бумаг осуществляет значительный объем трансграничной деятельности в принимающем государстве-члене ЕС, если крупный инцидент, связанный с ICT, по всей видимости будет иметь серьезные последствия для финансовых рынков принимающего государства-члена ЕС, а также при наличии договоренностей о сотрудничестве между компетентными органами, которые связаны с надзором за финансовыми организациями.