Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:artikel 5

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 5 Governance en organisatie

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Financiële entiteiten beschikken over een intern governance- en controlekader dat een doeltreffend en prudent beheer van het ICT-risico waarborgt, overeenkomstig artikel 6, lid 4, teneinde een hoog niveau van digitale operationele weerbaarheid te verkrijgen.

2.

Het leidinggevend orgaan van een financiële entiteit bepaalt alle regelingen met betrekking tot het in artikel 6, lid 1, bedoelde kader voor ICT-risicobeheer, keurt deze goed, houdt toezicht op de uitvoering ervan en is ervoor verantwoordelijk.

Voor de toepassing van de eerste alinea is het leidinggevend orgaan belast met:

a)

de eindverantwoordelijkheid voor het beheer van het ICT-risico van de financiële entiteit;

b)

de invoering van beleidslijnen die erop gericht zijn de handhaving van hoge normen inzake beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens te waarborgen;

c)

de vaststelling van duidelijke taken en verantwoordelijkheden voor alle ICT-gerelateerde functies en van passende governanceregelingen om te zorgen voor doeltreffende en tijdige communicatie, samenwerking en coördinatie tussen die functies;

d)

de algemene verantwoordelijkheid voor het vaststellen en goedkeuren van de strategie voor digitale operationele weerbaarheid als bedoeld in artikel 6, lid 8, met inbegrip van de bepaling van het passende risicotolerantieniveau voor het ICT-risico van de financiële entiteit, als bedoeld in artikel 6, lid 8, punt b);

e)

de goedkeuring van, het toezicht op en de periodieke evaluatie van de uitvoering van het beleid inzake ICT-bedrijfscontinuïteit en van de ICT-respons- en herstelplannen van de financiële entiteit, als bedoeld in respectievelijk artikel 11, leden 1 en 3, die kunnen worden aangenomen als een specifiek afzonderlijk beleid en als integrerend onderdeel van het ruimere beleid inzake bedrijfscontinuïteit en het respons- en herstelplan van de financiële entiteit;

f)

de goedkeuring en de periodieke evaluatie van de interne ICT-auditplannen en ICT-audits van de financiële entiteit en materiële wijzigingen daarvan;

g)

de toewijzing en de periodieke evaluatie van het passende budget om te voldoen aan de behoeften inzake digitale operationele weerbaarheid van de financiële entiteit met betrekking tot alle soorten middelen, waaronder relevante bewustmakingsprogramma's op het gebied van ICT-beveiliging en opleidingen inzake digitale operationele weerbaarheid zoals bedoeld in artikel 13, lid 6, en ICT-vaardigheden voor al het personeel;

h)

de goedkeuring en de periodieke evaluatie van het beleid van de financiële entiteit inzake regelingen betreffende het gebruik van ICT-diensten die door derde aanbieders van ICT-diensten worden verleend;

i)

het opzetten van meldingskanalen op bedrijfsniveau die het in staat stellen informatie in te winnen over:

i)

overeenkomsten met derde aanbieders van ICT-diensten inzake het gebruik van ICT-diensten;

ii)

elke relevante geplande materiële wijziging betreffende de derde aanbieders van ICT-diensten;

iii)

de potentiële effecten van deze veranderingen voor de kritieke of belangrijke functies die onder die overeenkomsten vallen, inclusief door middel van een samenvatting van de risicoanalyse om het effect te beoordelen van die veranderingen en op zijn minst ernstige ICT-gerelateerde incidenten en de gevolgen daarvan, alsook respons-, herstel- en corrigerende maatregelen.

3.

Andere financiële entiteiten dan micro-ondernemingen stellen een taak vast om de overeenkomsten met derde aanbieders van ICT-diensten met betrekking tot het gebruik van deze diensten te monitoren, of wijzen een lid van het hoger leidinggevend personeel aan dat verantwoordelijk is voor het toezicht op de desbetreffende risicoblootstelling en de relevante documentatie.

4.

De leden van het leidinggevend orgaan van de financiële entiteit onderhouden actief voldoende kennis en vaardigheden om ICT-risico en de gevolgen daarvan voor de verrichtingen van de financiële entiteit te begrijpen en te beoordelen, onder meer door regelmatig specifieke opleidingen te volgen die in verhouding staan tot het te beheren ICT-risico.

Deze functie is alleen te gebruiken als je bent ingelogd.