Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:artikel 11

Artikel 11 Respons en herstel

Geldend

Documentgegevens:

Geldend vanaf 16-01-2023

Bronpublicatie:: 14-12-2022, PbEU 2022, L 333 (uitgifte: 27-12-2022, regelingnummer: 2022/2554)
Inwerkingtreding: 16-01-2023
Bronpublicatie inwerkingtreding:: 14-12-2022, PbEU 2022, L 333 (uitgifte: 27-12-2022, regelingnummer: 2022/2554)
Vakgebied(en): Financieel recht / Europees financieel recht
Financieel recht / Financieel toezicht (juridisch)

1.

Binnen het in artikel 6, lid 1, bedoelde kader voor ICT-risicobeheer en op basis van de in artikel 8 gestelde identificatievereisten voeren financiële entiteiten een alomvattend ICT-bedrijfscontinuïteitsbeleid dat kan worden aangenomen als een specifiek beleid en een integrerend onderdeel vormt van het ruimere bedrijfsbrede beleid inzake bedrijfscontinuïteit van de financiële entiteit.

2.

Financiële entiteiten voeren het ICT-bedrijfscontinuïteitsbeleid uit via specifieke, aangepaste en gedocumenteerde regelingen, plannen, procedures en mechanismen die erop gericht zijn:

a): de continuïteit van de kritieke of belangrijke functies van de financiële entiteit te verzekeren;
b): op een snelle, passende en doeltreffende wijze een respons en een oplossing te bieden voor alle ICT-gerelateerde incidenten waarbij de schade wordt beperkt en prioriteit wordt verleend aan de hervatting van de activiteiten en aan herstelmaatregelen;
c): onverwijld specifieke plannen in werking te stellen om inperkingsmaatregelen, -processen en -technologieën mogelijk te maken die aangepast zijn aan elk type ICT-gerelateerd incident en waarmee verdere schade kan worden voorkomen, alsmede op maat gesneden respons- en herstelprocedures in overeenstemming met artikel 12;
d): de voorlopige effecten, schade en verliezen te ramen;
e): maatregelen voor communicatie en crisisbeheersing op te stellen die garanderen dat aan alle betrokken interne personeelsleden en externe belanghebbenden geactualiseerde informatie wordt verstrekt overeenkomstig artikel 14, en verslag uit te brengen aan de bevoegde autoriteiten overeenkomstig artikel 19.

3.

Binnen het in artikel 6, lid 1, bedoelde kader voor ICT-risicobeheer voeren financiële entiteiten bijbehorende ICT-respons- en herstelplannen in die, in het geval van andere financiële entiteiten dan micro-ondernemingen, aan onafhankelijke interne audits worden onderworpen.

4.

Financiële entiteiten voeren passende ICT-bedrijfscontinuïteitsplannen in, handhaven deze en zorgen voor periodieke tests, met name wat betreft kritieke of belangrijke functies die zijn uitbesteed of via contractuele overeenkomsten met derde aanbieders van ICT-diensten zijn overeengekomen.

5.

In het kader van het algemene bedrijfscontinuïteitsbeleid voeren financiële entiteiten een bedrijfsimpactanalyse (business impact analysis — BIA) uit van hun blootstelling aan ernstige verstoringen van de bedrijfsactiviteiten. In het kader van de BIA beoordelen financiële entiteiten de potentiële gevolgen van ernstige verstoringen van de bedrijfsactiviteiten aan de hand van kwantitatieve en kwalitatieve criteria, in voorkomend geval met behulp van interne en externe gegevens en scenarioanalyse. In de BIA wordt rekening gehouden met de kritieke aard van geïdentificeerde en in kaart gebrachte bedrijfsfuncties, ondersteuningsprocessen, afhankelijkheden van derden en informatieactiva, en hun onderlinge afhankelijkheden. Financiële entiteiten zorgen ervoor dat ICT-activa en ICT-diensten worden ontworpen en gebruikt in volledige overeenstemming met de BIA, met name om de redundantie van alle kritieke onderdelen adequaat te waarborgen.

6.

In het kader van hun alomvattend ICT-risicobeheer testen financiële entiteiten:

a): ten minste jaarlijks en in geval van substantiële wijzigingen in ICT-systemen die kritieke of belangrijke functies ondersteunen, de ICT-bedrijfscontinuïteitsplannen en de ICT-respons- en herstelplannen met betrekking tot ICT-systemen die kritieke of belangrijke functies ondersteunen;
b): de overeenkomstig artikel 14 opgestelde crisiscommunicatieplannen.

Voor de toepassing van de eerste alinea, punt a), nemen andere financiële entiteiten dan micro-ondernemingen in de testplannen scenario's op van cyberaanvallen en omschakelingen tussen de primaire ICT-infrastructuur en de reservecapaciteit, backups en reservefaciliteiten die noodzakelijk zijn om te voldoen aan de in artikel 12 bedoelde verplichtingen.

Financiële entiteiten evalueren regelmatig hun ICT-bedrijfscontinuïteitsbeleid en hun ICT-respons- en herstelplannen, rekening houdend met de resultaten van de overeenkomstig de eerste alinea uitgevoerde tests en de aanbevelingen die voortvloeien uit audits of toezichtbeoordelingen.

7.

Andere financiële entiteiten dan micro-ondernemingen beschikken over een functie voor crisisbeheer die in geval van activering van hun ICT-bedrijfscontinuïteitsplannen of ICT-respons- en herstelplannen onder meer duidelijke procedures bepaalt voor het beheer van interne en externe crisiscommunicatie in overeenstemming met artikel 14.

8.

Financiële entiteiten houden gemakkelijk toegankelijke registers bij van hun activiteiten vóór en tijdens storingen wanneer hun ICT-bedrijfscontinuïteitsplannen en ICT-respons- en herstelplannen worden geactiveerd.

9.

Centrale effectenbewaarinstellingen verstrekken de bevoegde autoriteiten kopieën van de resultaten van de ICT-bedrijfscontinuïteitstests of van soortgelijke oefeningen.

10.

Andere financiële entiteiten dan micro-ondernemingen verstrekken de bevoegde autoriteiten op hun verzoek een raming van de geaggregeerde jaarlijkse kosten en verliezen als gevolg van ernstige ICT-gerelateerde incidenten.

11.

Overeenkomstig artikel 16 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010 ontwikkelen de ETA's, via het Gemengd Comité, uiterlijk op 17 juli 2024 gemeenschappelijke richtsnoeren voor de raming van de geaggregeerde jaarlijkse kosten en verliezen als bedoeld in lid 10.