Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:artikel 17

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 17 Beheerproces voor ICT-gerelateerde incidenten

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Financiële entiteiten omschrijven een beheerproces voor ICT-gerelateerde incidenten, stellen dit vast en leggen dit ten uitvoer, om ICT-gerelateerde incidenten te detecteren, te beheren en te melden.

2.

Financiële entiteiten registreren alle ICT-gerelateerde incidenten en significante cyberdreigingen. Financiële entiteiten stellen passende procedures en processen vast voor een consistente en geïntegreerde monitoring, behandeling en follow-up van ICT-gerelateerde incidenten, teneinde ervoor te zorgen dat onderliggende oorzaken worden opgespoord, gedocumenteerd en weggenomen om dergelijke incidenten te voorkomen.

3.

Het in lid 1 bedoelde beheerproces voor ICT-gerelateerde incidenten heeft tot doel:

a)

indicatoren voor vroegtijdige waarschuwing in te voeren;

b)

procedures vast te stellen om ICT-gerelateerde incidenten te identificeren, te detecteren, te categoriseren en te classificeren op basis van de prioriteit en de ernst ervan en op basis van het kritieke karakter van de getroffen diensten in overeenstemming met de criteria van artikel 18, lid 1;

c)

functies en verantwoordelijkheden toe te wijzen die voor verschillende incidenttypes en -scenario's moeten worden geactiveerd;

d)

plannen op te stellen voor communicatie met personeel, externe belanghebbenden en media in overeenstemming met artikel 14, en voor mededeling aan cliënten, voor interne escalatieprocedures, met inbegrip van ICT-gerelateerde klachten van cliënten, alsmede voor verstrekking van informatie, indien noodzakelijk, aan financiële entiteiten die optreden als tegenpartijen;

e)

te verzekeren dat ten minste ernstige ICT-gerelateerde incidenten aan het desbetreffende hoger leidinggevend personeel worden gemeld, en het leidinggevend orgaan te informeren over ten minste ernstige ICT-gerelateerde incidenten met toelichting bij de effecten, de respons en de in te stellen aanvullende controles ten gevolge van dergelijke ICT-gerelateerde incidenten;

f)

responsprocedures voor ICT-gerelateerde incidenten in te stellen om de effecten daarvan te beperken en ervoor te zorgen dat de diensten tijdig operationeel en veilig worden.

Deze functie is alleen te gebruiken als je bent ingelogd.