Статья 11. Реагирование и восстановление. Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14.12.2022 о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011

Статья 11
Реагирование и восстановление

1. В рамках системы управления ICT-рисками, указанной в Статье 6(1) настоящего Регламента, и на основании требований к идентификации, изложенных в Статье 8 настоящего Регламента, финансовые организации должны внедрить всеобъемлющую политику по обеспечению непрерывности деятельности в сфере ICT, которая может быть принята в качестве специальной политики, составляющей неотъемлемую часть общей политики обеспечения непрерывности бизнеса финансовой организации.

2. Финансовые организации должны внедрять политику по обеспечению непрерывности деятельности в сфере ICT посредством специальных, подходящих и документально обоснованных мероприятий, планов, процедур и механизмов, направленных на:

(а) обеспечение непрерывности критических или важных функций финансовой организации;

(b) оперативное, надлежащее и эффективное реагирование на все инциденты, связанные с ICT, и их разрешение таким образом, чтобы ограничить ущерб и сконцентрировать усилия на возобновлении деятельности и на мерах по восстановлению;

(c) безотлагательную активацию специальных планов, которые предусматривают меры по сдерживанию, процессы и технологии, подходящие для каждого типа инцидента, связанного с ICT, и предотвращают дальнейший ущерб, а также индивидуальный порядок реагирования и восстановления, установленный в соответствии со Статьей 12 настоящего Регламента;

(d) предварительную оценку воздействия, ущерба и потерь;

(e) проведение мероприятий по коммуникации и кризисному управлению, обеспечивающих передачу актуальной информации всем заинтересованным сотрудникам и внешним заинтересованным сторонам в соответствии со Статьей 14 настоящего Регламента, а также мероприятий по представлению отчетности компетентным органам в соответствии со Статьей 19 настоящего Регламента.

3. В рамках системы управления ICT-рисками, указанной в Статье 6(1) настоящего Регламента, финансовые организации должны внедрять соответствующие планы по реагированию и восстановлению ICT, которые, в случае финансовых организаций, отличных от микропредприятий, подлежат независимым внутренним аудиторским проверкам.

4. Финансовые организации должны внедрить, поддерживать и периодически подвергать испытаниям соответствующие планы по обеспечению непрерывности деятельности в сфере ICT, особенно в отношении критических или важных функций, переданных на аутсорсинг или по договору со сторонними поставщиками услуг ICT.

5. В рамках общей политики по обеспечению непрерывности бизнеса финансовые организации должны проводить анализ последствий их подверженности серьезным сбоям в работе для их деятельности (BIA). В рамках BIA финансовые организации должны оценивать потенциальное воздействие серьезных сбоев в работе посредством количественных и качественных критериев, используя внутренние и внешние данные и анализ сценариев, в зависимости от обстоятельств. В рамках BIA необходимо учитывать критичность идентифицированных и обозначенных бизнес-функций, процессов поддержки, зависимости от третьих сторон и информационных активов, а также их взаимозависимости. Финансовые организации должны гарантировать, что ICT-активы и услуги ICT проектируются и используются в полном соответствии с BIA, в частности, в том, что касается надлежащего резервирования всех критических компонентов.

6. В рамках комплексного управления ICT-рисками финансовые организации должны:

(a) подвергать испытаниям планы по обеспечению непрерывности деятельности в сфере ICT и планы по реагированию и восстановлению ICT в отношении систем ICT, поддерживающих все функции, не реже одного раза в год, а также при внесении существенных изменений в системы ICT, которые поддерживают выполнение критических или важных функций;

(b) подвергать испытаниям планы антикризисной коммуникации, разработанные в соответствии со Статьей 14 настоящего Регламента.

В целях пункта (a) первого подпараграфа финансовые организации, за исключением микропредприятий, должны включать в планы проведения испытаний сценарии кибератак и переключений между основной инфраструктурой ICT и резервными мощностями, резервными программами и резервными объектами, необходимыми для исполнения обязательств, изложенных в Статье 12 настоящего Регламента.

Финансовые организации должны регулярно пересматривать свою политику по обеспечению непрерывности деятельности в сфере ICT и планы по реагированию и восстановлению ICT с учетом результатов испытаний, проведенных в соответствии с первым подпунктом, и рекомендаций, вытекающих из аудиторских или надзорных проверок.

7. Финансовые организации, за исключением микропредприятий, должны иметь подразделение по антикризисному управлению, которое в случае активации их планов по обеспечению непрерывности деятельности в сфере ICT или планов по реагированию и восстановлению ICT должно, inter alia, установить четкие процедуры для управления внутренними и внешними антикризисными коммуникациями в соответствии со Статьей 14 настоящего Регламента.

8. Финансовые организации должны вести легкодоступную документацию, касающуюся их деятельности до и во время сбоев, когда активируются их планы по обеспечению непрерывности деятельности в сфере ICT или планы по реагированию и восстановлению ICT.

9. Центральные депозитарии ценных бумаг должны предоставлять компетентным органам копии результатов испытаний на непрерывность деятельности в сфере ICT или аналогичных мероприятий.

10. Финансовые организации, за исключением микропредприятий, должны передавать компетентным органам по их запросу оценку совокупных годовых затрат и убытков, вызванных крупными инцидентами, связанными с ICT.

11. В соответствии со параграфе 10 настоящей Статьи.