Artikel 6 Kader voor ICT-risicobeheer

Financiële entiteiten beschikken over een solide, alomvattend en goed gedocumenteerd kader voor ICT-risicobeheer, als onderdeel van hun algemeen risicobeheersysteem, dat hen in staat stelt ICT-risico snel, efficiënt en zo volledig mogelijk aan te pakken en een hoog niveau van digitale operationele weerbaarheid te waarborgen.

Het kader voor ICT-risicobeheer omvat ten minste strategieën, beleidslijnen, procedures, ICT-protocollen en instrumenten die nodig zijn om alle informatie- en ICT-activa, met inbegrip van computersoftware, hardware, servers naar behoren en toereikend te beschermen, en om alle relevante fysieke elementen en infrastructuur, zoals gebouwen en terreinen, datacentra en als gevoelig aangewezen gebieden te beschermen, teneinde te waarborgen dat alle informatie- en ICT-activa toereikend worden beschermd tegen risico's, waaronder schade, ongeoorloofde toegang en ongeoorloofd gebruik.

Overeenkomstig hun kader voor ICT-risicobeheer beperken financiële entiteiten de impact van ICT-risico tot een minimum door passende strategieën, beleidslijnen, procedures, ICT-protocollen en instrumenten in te zetten. Op verzoek van de bevoegde autoriteiten verstrekken zij aan die autoriteiten volledige en geactualiseerde informatie over ICT-risico en over hun kader voor ICT-risicobeheer.

Andere financiële entiteiten dan micro-ondernemingen wijzen de verantwoordelijkheid voor het beheer van en toezicht op ICT-risico toe aan een controlefunctie en waarborgen een passend niveau van onafhankelijkheid van die controlefunctie om belangenconflicten te voorkomen. Financiële entiteiten waarborgen een passende scheiding en onafhankelijkheid van ICT-risicobeheerfuncties, controlefuncties en interne auditfuncties, overeenkomstig het model van de drie verdedigingslijnen of een model voor intern risicobeheer en -controle.

Het kader voor ICT-risicobeheer wordt ten minste eenmaal per jaar, of periodiek in het geval van micro-ondernemingen, gedocumenteerd en geëvalueerd, alsook wanneer zich ernstige ICT-gerelateerde incidenten voordoen en na toezichtinstructies of -conclusies die voortvloeien uit relevante tests of auditprocessen op het gebied van digitale operationele weerbaarheid. Het wordt voortdurend verbeterd op basis van de lessen die uit de uitvoering en de monitoring naar voren komen. Aan de bevoegde autoriteit wordt een verslag bezorgd over de evaluatie van het kader voor ICT-risicobeheer indien zij daarom verzoekt.

Het kader voor ICT-risicobeheer van andere financiële entiteiten dan micro-ondernemingen wordt regelmatig onderworpen aan een interne audit door auditors, in overeenstemming met het auditplan van de financiële entiteiten. Deze auditors beschikken over voldoende kennis, vaardigheden en deskundigheid op het gebied van ICT-risico en over de nodige onafhankelijkheid. De frequentie en de focus van de ICT-audits staan in verhouding tot het ICT-risico van de financiële entiteit.

Op basis van de conclusies van de interne audit stellen financiële entiteiten een formeel follow-upproces vast, met regels voor de tijdige verificatie en remediëring van kritieke ICT-auditbevindingen.

Het kader voor ICT-risicobeheer omvat een strategie voor digitale operationele weerbaarheid waarin de wijze van tenuitvoerlegging van het kader wordt vastgesteld. Daartoe omvat de strategie voor digitale operationele weerbaarheid methoden om ICT-risico aan te pakken en specifieke ICT-doelstellingen te verwezenlijken, door:

Financiële entiteiten kunnen, in het kader van de in lid 8 bedoelde strategie voor digitale operationele weerbaarheid, op groeps- of entiteitsniveau een holistische multivendorstrategie op ICT-gebied vaststellen, waarin belangrijke afhankelijkheden van derde aanbieders van ICT-diensten worden aangegeven en de motivering voor de mix van aanbestedingen bij derde aanbieders van ICT-diensten wordt toegelicht.

Financiële entiteiten kunnen, in overeenstemming met het Unie- en nationale sectorale recht, de verificatietaken inzake naleving van de vereisten op het gebied van ICT-risicobeheer uitbesteden aan intragroeps- of externe ondernemingen. In het geval van een dergelijke uitbesteding blijft de financiële entiteit volledig verantwoordelijk voor de controle op de naleving van de vereisten inzake ICT-risicobeheer.