Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:Artikel 16 Vereenvoudigd kader voor ICT-risicobeheer

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 16 Vereenvoudigd kader voor ICT-risicobeheer

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

De artikelen 5 tot en met 15 van deze verordening zijn niet van toepassing op kleine en niet-verweven beleggingsondernemingen, betalingsinstellingen die krachtens Richtlijn (EU) 2015/2366 zijn vrijgesteld; instellingen die krachtens Richtlijn 2013/36/EU zijn vrijgesteld en waarvoor de lidstaten hebben besloten de in artikel 2, lid 4, van deze verordening bedoelde optie niet toe te passen; instellingen voor elektronisch geld die krachtens Richtlijn 2009/110/EG zijn vrijgesteld, en kleine instellingen voor bedrijfspensioenvoorziening.

Onverminderd de eerste alinea moeten de in de eerste alinea vermelde entiteiten:

a)

een degelijk en gedocumenteerd kader voor ICT-risicobeheer tot stand brengen en handhaven, waarin de mechanismen en maatregelen worden beschreven die gericht zijn op een snel, efficiënt en alomvattend beheer van het ICT-risico, met inbegrip van de bescherming van relevante fysieke componenten en infrastructuur;

b)

voortdurend toezicht houden op de beveiliging en werking van alle ICT-systemen;

c)

de gevolgen van ICT-risico's tot een minimum beperken door solide, weerbare en geactualiseerde ICT-systemen, -protocollen en -instrumenten te gebruiken die geschikt zijn voor het ondersteunen van de prestaties van hun activiteiten en de verlening van diensten, en de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens in de netwerk- en informatiesystemen adequaat beschermen;

d)

ervoor zorgen dat bronnen van ICT-risico's en anomalieën in de netwerk- en informatiesystemen zo spoedig mogelijk worden geïdentificeerd en gedetecteerd en ICT-gerelateerde incidenten snel kunnen worden afgehandeld;

e)

de belangrijkste afhankelijkheden ten aanzien van derde aanbieders van ICT-diensten in kaart brengen;

f)

de continuïteit van kritieke of belangrijke functies waarborgen door middel van bedrijfscontinuïteitsplannen en respons- en herstelmaatregelen, die ten minste back-up- en herstelmaatregelen omvatten;

g)

de in punt f) bedoelde plannen en maatregelen, alsmede de doeltreffendheid van de overeenkomstig de punten a) en c) uitgevoerde controles regelmatig testen;

h)

in voorkomend geval de relevante operationele conclusies die voortvloeien uit de in punt g) bedoelde tests en uit de analyse na een incident opnemen in het ICT-risicobeoordelingsproces, en overeenkomstig de behoeften en het ICT-risicoprofiel bewustmakingsprogramma's op het gebied van ICT-beveiliging en opleiding inzake digitale operationele weerbaarheid voor personeel en leidinggevenden ontwikkelen.

2.

Het in lid 1, tweede alinea, punt a), bedoelde kader voor ICT-risicobeheer wordt overeenkomstig de toezichtinstructies op gezette tijden en bij ernstige ICT-gerelateerde incidenten gedocumenteerd en geëvalueerd. Het wordt voortdurend verbeterd op basis van de lessen die uit de uitvoering en de monitoring naar voren komen. Een evaluatieverslag van het kader voor ICT-risicobeheer wordt op verzoek bij de bevoegde autoriteit ingediend.

3.

De ETA's stellen via het Gemengd Comité en in overleg met Enisa gemeenschappelijke ontwerpen van technische reguleringsnormen op met het doel:

a)

de elementen die moeten worden opgenomen in het in lid 1, tweede alinea, punt a), bedoelde kader voor ICT-risicobeheer verder te specificeren;

b)

de elementen met betrekking tot systemen, protocollen en instrumenten om de effecten van het in lid 1, tweede alinea, punt c), bedoelde ICT-risico tot een minimum te beperken verder te specificeren, teneinde de veiligheid van netwerken te garanderen, passende waarborgen tegen inbreuken en misbruik van gegevens mogelijk te maken en de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens te beschermen;

c)

de onderdelen van de in lid 1, tweede alinea, punt f), bedoelde ICT-bedrijfscontinuïteitsplannen verder te specificeren;

d)

de regels voor het testen van bedrijfscontinuïteitsplannen verder te specificeren, de doeltreffendheid van de in lid 1, tweede alinea, punt g), bedoelde controles te waarborgen, en ervoor te zorgen dat bij dergelijke tests terdege rekening wordt gehouden met scenario's waarin de kwaliteit van voorziening van een kritieke of belangrijke functie tot op een onaanvaardbaar niveau verslechtert of deze functie uitvalt;

e)

de inhoud en de vorm van het in lid 2 bedoelde evaluatieverslag van het kader voor ICT-risicobeheer verder te specificeren.

Bij het opstellen van die ontwerpen van technische reguleringsnormen houden de ETA's rekening met de omvang en het algemene risicoprofiel van de financiële entiteit, en met de aard, schaal en complexiteit van de diensten, activiteiten en verrichtingen ervan.

De ETA's leggen deze ontwerpen van technische reguleringsnormen uiterlijk op 17 januari 2024 voor aan de Commissie.

Aan de Commissie wordt de bevoegdheid gedelegeerd om deze verordening aan te vullen door de in de eerste alinea bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.

Deze functie is alleen te gebruiken als je bent ingelogd.