Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава III. Управление инцидентами, связанными с ICT, их классификация и представление отчетности по ним
- Статья 17. Процесс управления инцидентами, связанными с ICT
Статья 17. Процесс управления инцидентами, связанными с ICT
Статья 17
Процесс управления инцидентами, связанными с ICT
1. Финансовые организации должны определить, разработать и внедрить процесс управления инцидентами, связанными с ICT, для обнаружения таких инцидентов, управления ими и уведомления о них.
2. Финансовые организации должны регистрировать все инциденты, связанные с ICT, и существенные киберугрозы. Финансовые организации должны разработать надлежащие процедуры и процессы для обеспечения последовательного и комплексного мониторинга, обработки и проведения последующих мероприятий в отношении инцидентов, связанных с ICT, для обеспечения выявления, документирования и устранения их основных причин в целях предотвращения возникновения таких инцидентов.
3. В рамках процесса управления инцидентами, связанными с ICT, указанного в параграфе 1 настоящей Статьи, необходимо:
(a) установить индикаторы раннего предупреждения;
(b) установить процедуры для выявления, отслеживания, регистрации, категоризации и классификации инцидентов, связанных с ICT, в соответствии с их приоритетом и серьезностью, а также в соответствии с критичностью затронутых услуг согласно критериям, изложенным в Статье 18(1) настоящей Статьи;
(c) распределить роли и обязанности, которые необходимо активировать для различных видов и сценариев инцидентов, связанных с ICT;
(d) разработать планы коммуникации с персоналом, внешними заинтересованными сторонами и средствами массовой информации в соответствии со Статьей 14 настоящего Регламента, а также уведомления для клиентов, планы внутренних процедур по урегулированию проблем, включая жалобы клиентов в связи с ICT, а также планы предоставления информации финансовым организациям, выступающим в качестве контрагентов, в зависимости от обстоятельств;
(e) гарантировать, что информация как минимум о крупных инцидентах, связанных с ICT, доводится до сведения соответствующего высшего руководства, а также информировать орган управления как минимум о крупных инцидентах, связанных с ICT, предоставляя пояснения в отношении воздействия, реагирования и дополнительных мер контроля, которые должны быть приняты в результате таких инцидентов, связанных с ICT;
(f) установить процедуры реагирования на инциденты, связанные с ICT для минимизации их последствий и обеспечения своевременной работы и безопасности услуг.