Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:artikel 33

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 33 Taken van de lead overseer

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

De overeenkomstig artikel 31, lid 1, punt b), aangestelde lead overseer oefent het oversight uit over de aangewezen kritieke derde aanbieders van ICT-diensten en is voor alle aan het oversight gerelateerde aangelegenheden het eerste contactpunt voor die kritieke derde aanbieders van ICT-diensten.

2.

Voor de toepassing van lid 1, beoordeelt de lead overseer of elke kritieke derde aanbieder van ICT-diensten over uitgebreide, deugdelijke en doeltreffende regels, procedures, mechanismen en regelingen beschikt voor het beheer van het ICT-risico dat hij voor financiële entiteiten kan inhouden.

De in de eerste alinea bedoelde beoordeling is voornamelijk gericht op ICT-diensten verleend door de kritieke derde aanbieder van ICT-diensten die kritieke of belangrijke functies of financiële entiteiten ondersteunt. Waar dat nodig is om alle relevante risico's aan te pakken, wordt de beoordeling uitgebreid tot ICT-diensten die andere functies dan de kritieke of de belangrijke functies ondersteunen.

3.

De in lid 2 bedoelde beoordeling heeft betrekking op:

a)

ICT-voorschriften om met name de veiligheid, beschikbaarheid, continuïteit, schaalbaarheid en kwaliteit van diensten die de kritieke derde aanbieder van ICT-diensten aan financiële entiteiten verleent, te garanderen alsook het vermogen om te allen tijde hoge normen inzake beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gegevens te handhaven;

b)

de fysieke beveiliging die tot de ICT-beveiliging bijdraagt, inclusief de beveiliging van gebouwen, faciliteiten en datacentra;

c)

de processen inzake risicobeheer, met inbegrip van het beleid inzake ICT-risicobeheer, het ICT-bedrijfscontinuïteitsbeleid en de ICT-respons- en herstelplannen;

d)

de governanceregelingen, met inbegrip van een organisatiestructuur met duidelijke, transparante en consistente regels inzake taakverdeling en verantwoording die doeltreffend ICT-risicobeheer mogelijk maken;

e)

de opsporing, monitoring en snelle rapportage van materiële ICT-gerelateerde incidenten aan financiële entiteiten, het beheer en de oplossing van die incidenten, met name cyberaanvallen;

f)

de mechanismen voor overdracht van gegevens en applicaties en interoperabiliteit, die een doeltreffende uitoefening van het beëindigingsrecht door de financiële entiteiten verzekeren;

g)

het testen van ICT-systemen, -infrastructuur en -controles;

h)

de ICT-audits;

i)

het gebruik van relevante nationale en internationale normen die van toepassing zijn op het verlenen van ICT-diensten aan de financiële entiteiten.

4.

Op basis van de in lid 2 bedoelde beoordeling en in overleg met het in artikel 34, lid 1, bedoelde gezamenlijk oversightnetwerk (JON) stelt de lead overseer een duidelijk, gedetailleerd en met redenen omkleed individueel oversightplan op met de jaarlijkse oversightdoelstellingen en de belangrijkste geplande oversightacties voor elke kritieke derde aanbieder van ICT-diensten. Dat plan wordt jaarlijks aan de kritieke derde aanbieder van ICT-diensten meegedeeld.

Voorafgaand aan de vaststelling van het oversightplan door de lead overseer, wordt het ontwerp van dat oversightplan aan de kritieke derde aanbieder van ICT-diensten meegedeeld.

Na ontvangst van het ontwerp van het oversightplan, kan de kritieke derde aanbieder van ICT-diensten binnen 15 kalenderdagen een met redenen omklede verklaring indienen met de verwachte gevolgen voor klanten die entiteiten zijn die buiten het toepassingsgebied van deze verordening vallen, en waar passend oplossingen formuleren om risico's te mitigeren.

5.

Zodra de in lid 4 bedoelde jaarlijkse oversightplannen zijn vastgesteld en aan de kritieke derde aanbieder van ICT-diensten zijn meegedeeld, kunnen de bevoegde autoriteiten maatregelen met betrekking tot deze kritieke derde aanbieders van ICT-diensten alleen nemen in overeenstemming met de lead overseer.

Deze functie is alleen te gebruiken als je bent ingelogd.