Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:artikel 8

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 8 Identificatie

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

In het kader van het in artikel 6, lid 1, bedoelde kader voor ICT-risicobeheer identificeren, classificeren en documenteren financiële entiteiten naar behoren alle door ICT ondersteunde bedrijfsfuncties, taken en verantwoordelijkheden, de informatie- en ICT-activa die deze functies ondersteunen, en hun taken en afhankelijkheden met betrekking tot ICT-risico's. Financiële entiteiten evalueren indien nodig en ten minste eenmaal per jaar of deze classificatie en de relevante documentatie adequaat is.

2.

Financiële entiteiten identificeren permanent alle bronnen van ICT-risico, met name de wederzijdse risicoblootstelling ten aanzien van andere financiële entiteiten, en beoordelen de cyberdreigingen en ICT-kwetsbaarheden die relevant zijn voor hun door ICT ondersteunde bedrijfsfuncties en informatie- en ICT-activa. Financiële entiteiten evalueren regelmatig en ten minste eenmaal per jaar de risicoscenario's die op hen van invloed zijn.

3.

Andere financiële entiteiten dan micro-ondernemingen verrichten een risicobeoordeling bij elke belangrijke wijziging in de netwerk- en informatiesysteeminfrastructuur en in de processen of procedures die van invloed zijn op hun door ICT ondersteunde bedrijfsfuncties en informatie- of ICT-activa.

4.

Financiële entiteiten identificeren alle informatie- en ICT-activa, met inbegrip van die welke zich op afgelegen locaties bevinden, netwerkmiddelen en hardware-uitrusting, en inventariseren die welke zij cruciaal achten. Zij inventariseren de configuratie van de informatie- en ICT-activa en de verbanden en onderlinge afhankelijkheden tussen de verschillende informatie- en ICT-activa.

5.

Financiële entiteiten identificeren en documenteren alle processen die afhankelijk zijn van derde aanbieders van ICT-diensten en identificeren interconnecties met derde aanbieders van ICT-diensten die diensten verlenen die kritieke of belangrijke functies ondersteunen.

6.

Voor de toepassing van de leden 1, 4 en 5 houden financiële entiteiten desbetreffende inventarissen bij en actualiseren zij deze periodiek en telkens wanneer zich een belangrijke wijziging als bedoeld in lid 3 voordoet.

7.

Andere financiële entiteiten dan micro-ondernemingen verrichten regelmatig en ten minste eenmaal per jaar een specifieke ICT-risicobeoordeling op alle legacy-ICT-systemen en in ieder geval voor en na de aansluiting van technologieën, toepassingen of systemen.

Deze functie is alleen te gebruiken als je bent ingelogd.