Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:artikel 12

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 12 Back-upbeleid en -procedures, terugzettings- en herstelprocedures en -methoden

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Teneinde het terugzetten van ICT-systemen en gegevens te verzekeren met een minimale uitval en een beperkte verstoring en beperkt verlies, ontwikkelen en documenteren financiële entiteiten als onderdeel van hun kader voor ICT-risicobeheer:

a)

back-upbeleid en -procedures waarin nader wordt bepaald op welke gegevens de back-up en de minimale frequentie van de back-up worden toegepast, op basis van het kritieke karakter van de informatie of het vertrouwelijkheidsniveau van de gegevens;

b)

terugzettings- en herstelprocedures en -methoden.

2.

Financiële entiteiten zetten back-upsystemen op die kunnen worden geactiveerd in overeenstemming met het back-upbeleid, de back-upprocedures, en de terugzettings- en herstelprocedures en -methoden. De activering van back-upsystemen mag de beveiliging van de netwerk- en informatiesystemen of de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gegevens niet in gevaar brengen. De back-upprocedures en de terugzettings- en herstelprocedures en -methoden worden periodiek getest.

3.

Wanneer financiële entiteiten back-upgegevens terugzetten met behulp van eigen systemen, maken zij gebruik van ICT-systemen die fysiek of logisch gescheiden zijn van het bron-ICT-systeem. De ICT-systemen zijn tegen ongeoorloofde toegang of beschadiging van ICT beveiligd en maken het mogelijk diensten indien nodig tijdig terug te zetten met gebruikmaking van gegevens en systeemback-ups.

Voor centrale tegenpartijen maken de herstelplannen het herstel mogelijk van alle transacties ten tijde van de verstoring, om de centrale tegenpartij in staat te stellen haar activiteiten met zekerheid voort te zetten en de transactie af te wikkelen op de geplande datum.

Aanbieders van datarapporteringsdiensten houden daarnaast voldoende middelen aan en beschikken over back-up- en terugzetfaciliteiten om hun diensten te allen tijde aan te bieden en te onderhouden.

4.

Andere financiële entiteiten dan micro-ondernemingen houden ICT-capaciteiten in reserve met middelen, capaciteiten en functies die geschikt zijn om te voorzien in de zakelijke behoeften. Micro-ondernemingen gaan op basis van hun risicoprofiel na of dergelijke reservecapaciteiten behouden moeten worden.

5.

Centrale effectenbewaarinstellingen handhaven ten minste één secundaire verwerkingslocatie, met adequate middelen, capaciteiten, functies en personeelsvoorziening om te voorzien in de zakelijke behoeften.

De secundaire verwerkingslocatie is:

a)

fysiek gevestigd op een bepaalde afstand van de primaire verwerkingslocatie om te verzekeren dat de locatie een ander risicoprofiel heeft en om te voorkomen dat deze wordt getroffen door de gebeurtenis die de primaire locatie heeft getroffen;

b)

in staat de continuïteit van kritieke of belangrijke functies op dezelfde manier te waarborgen als de primaire locatie of het niveau van diensten te leveren dat noodzakelijk is om ervoor te zorgen dat de financiële entiteit haar kritieke activiteiten verricht binnen het kader van de hersteldoelstellingen;

c)

onmiddellijk toegankelijk voor het personeel van de financiële entiteit om de continuïteit van kritieke of belangrijke functies te waarborgen ingeval de primaire verwerkingslocatie niet langer beschikbaar is.

6.

Bij het bepalen van de doelstellingen inzake hersteltijd en herstelpunt voor elke functie houden financiële entiteiten rekening met de vraag of het een kritieke of belangrijke functie betreft en met het potentiële algemene effect op de marktefficiëntie. Deze tijdsdoelstellingen zorgen ervoor dat de overeengekomen niveaus in extreme scenario's worden gehaald.

7.

Bij herstel van een ICT-gerelateerd incident verrichten financiële entiteiten de benodigde controles, ook meerdere controles, waaronder afstemmingen, om ervoor te zorgen dat het hoogste niveau van gegevensintegriteit wordt gehandhaafd. Deze controles worden ook verricht bij het reconstrueren van gegevens van externe belanghebbenden om te waarborgen dat alle gegevens consistent zijn tussen de systemen.

Deze functie is alleen te gebruiken als je bent ingelogd.