Einde inhoudsopgave
Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011
Artikel 15 Verdere harmonisatie van ICT-risicobeheersinstrumenten, -methoden, -processen en -beleidslijnen
Geldend
Geldend vanaf 16-01-2023
- Bronpublicatie:
14-12-2022, PbEU 2022, L 333 (uitgifte: 27-12-2022, regelingnummer: 2022/2554)
- Inwerkingtreding
16-01-2023
- Bronpublicatie inwerkingtreding:
14-12-2022, PbEU 2022, L 333 (uitgifte: 27-12-2022, regelingnummer: 2022/2554)
- Vakgebied(en)
Financieel recht / Europees financieel recht
Financieel recht / Financieel toezicht (juridisch)
De ETA's stellen via het Gemengd Comité en in overleg met het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), gemeenschappelijke ontwerpen van technische reguleringsnormen op met het doel:
- a)
nadere elementen te specificeren die moeten worden opgenomen in de beleidslijnen, procedures, protocollen en instrumenten met betrekking tot ICT-beveiliging als bedoeld in artikel 9, lid 2, teneinde de veiligheid van netwerken te garanderen, passende waarborgen tegen inbreuken en misbruik van gegevens mogelijk te maken, de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens, met inbegrip van cryptografische technieken, te beschermen en een nauwkeurige en snelle doorgifte van gegevens zonder ernstige verstoringen en onnodige vertragingen te waarborgen;
- b)
verdere onderdelen van de controle van rechten voor toegangsbeheer als bedoeld in artikel 9, lid 4, punt c), en het daarmee verband houdende personeelsbeleid te ontwikkelen, waarin de toegangsrechten en de procedures voor het toekennen en intrekken van rechten nader worden gespecificeerd, en toezicht wordt uitgeoefend op afwijkend gedrag met betrekking tot het ICT-risico via passende indicatoren, onder meer voor patronen en uren van netwerkgebruik, IT-activiteit en onbekende toestellen;
- c)
- d)
de onderdelen van het ICT-bedrijfscontinuïteitsbeleid als bedoeld in artikel 11, lid 1, verder te specificeren;
- e)
het testen van de ICT-bedrijfscontinuïteitsplannen als bedoeld in artikel 11, lid 6, verder te specificeren om ervoor te zorgen dat bij het testen naar behoren rekening wordt gehouden met scenario's waarin de kwaliteit van voorziening van een kritieke of belangrijke functie tot op een onaanvaardbaar niveau verslechtert of deze functie uitvalt, en de potentiële effecten van de insolventie of andere gebreken van een relevante derde aanbieder van ICT-diensten en, indien van toepassing, de politieke risico's in de rechtsgebieden van de respectieve aanbieders naar behoren in aanmerking worden genomen;
- f)
de onderdelen van de ICT-respons- en -herstelplannen als bedoeld in artikel 11, lid 3, verder te specificeren;
- g)
de inhoud en de vorm van het in artikel 6, lid 5, bedoelde evaluatieverslag van het kader voor ICT-risicobeheer verder te specificeren.
Bij het ontwikkelen van die ontwerpen van technische reguleringsnormen houden de ETA's rekening met de omvang en het algemene risicoprofiel van de financiële entiteit en met de aard, schaal en complexiteit van de diensten, activiteiten en verrichtingen ervan, waarbij zij terdege rekening houden met elk specifiek kenmerk dat voortvloeit uit de specifieke aard van de activiteiten in verschillende financiëledienstensectoren.
De ETA's leggen deze ontwerpen van technische reguleringsnormen uiterlijk op 17 januari 2024 voor aan de Commissie.
Aan de Commissie wordt de bevoegdheid gedelegeerd om deze verordening aan te vullen door de in de eerste alinea bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.