Статья 12. Принципы и процедуры резервного копирования, процедуры и методы возобновления деятельности и восстановления. Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14.12.2022 о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011

Статья 12
Принципы и процедуры резервного копирования, процедуры и методы возобновления деятельности и восстановления

1. В целях обеспечения восстановления систем ICT и данных с минимальным временем простоя, минимальными сбоями и потерями финансовые организации в рамках своей системы управления ICT-рисками должны разработать и документально обосновать:

(a) принципы и процедуры резервного копирования, определяющие объем данных, подлежащих резервному копированию, и минимальную частоту резервного копирования, исходя из критичности информации или уровня конфиденциальности данных;

(b) процедуры и методы возобновления деятельности и восстановления.

2. Финансовые организации должны создать системы резервного копирования, которые могут быть активированы в соответствии с принципами и процедурами резервного копирования, а также процедурами и методами возобновления деятельности и восстановления. Активация систем резервного копирования не должна ставить под угрозу безопасность сетевых и информационных систем или доступность, подлинность, целостность или конфиденциальность данных. Периодически необходимо проводить испытания процедур резервного копирования, а также процедур и методов возобновления деятельности и восстановления.

3. При восстановлении резервных данных с использованием собственных систем финансовые организации должны использовать системы ICT, которые физически и логически отделены от исходной системы ICT. Системы ICT должны быть надежно защищены от любого несанкционированного доступа или от повреждения ICT и обеспечивать возможность своевременного возобновления оказания услуг с использованием данных и резервных копий системы при необходимости.

Планы по восстановлению центральных контрагентов должны предусматривать восстановление всех транзакций на момент сбоя, чтобы центральный контрагент мог продолжать работу с уверенностью и завершить расчеты на запланированную дату.

Поставщики услуг по предоставлению отчетности должны дополнительно поддерживать в наличии надлежащие ресурсы и иметь средства резервного копирования и восстановления, чтобы предлагать и оказывать свои услуги в любой момент.

4. Финансовые организации, за исключением микропредприятий, должны поддерживать резервные мощности ICT, оснащенные ресурсами, возможностями и функциями, достаточными для обеспечения потребностей бизнеса. Микропредприятия должны оценивать необходимость поддержания таких резервных мощностей ICT на основе своего профиля рисков.

5. Центральные депозитарии ценных бумаг должны иметь не менее одной дополнительной площадки для обработки данных, оснащенной достаточным количеством ресурсов, мощностей, функций и персонала, чтобы обеспечить потребности бизнеса.

Дополнительная площадка для обработки данных:

(a) должна быть расположена на географическом удалении от первичной площадки для обработки данных, чтобы гарантировать, что она имеет отдельный профиль риска и что на нее не влияет событие, которое затронуло первичную площадку для обработки данных;

(b) д