Член 18

(Член 17, параграф 1 от Директива 2014/65/ЕС)

1.Инвестиционният посредник изпълнява стратегия в областта на информационните технологии с определени цели и мерки, която:

а) е в съответствие с бизнес стратегията и стратегията по отношение на риска на инвестиционния посредник и е съобразена с неговата оперативна дейност и рисковете, на които е изложен;

б) се основава на надеждна организация в областта на информационните технологии, включително услуги, производство и развитие;

в) е в съответствие с ефективното управление на сигурността в областта на информационните технологии.

2.Инвестиционният посредник създава и поддържа подходящи процедури за физическа и електронна сигурност, които свеждат до минимум рисковете от атаки срещу неговите информационни системи, като това включва ефективно управление на данните за самоличност и достъпа. Тези мерки осигуряват поверителност, цялостност, автентичност и наличност на данните, както и надеждност и устойчивост на информационните системи на инвестиционния посредник.

3.Инвестиционният посредник незабавно уведомява компетентния орган за всяко съществено нарушение на неговите мерки за физическа и електронна сигурност. Той изпраща доклад за инцидент до компетентния орган, посочващ естеството на инцидента, предприетите непосредствено след инцидента мерки, както и инициативите за избягване на подобни инциденти в бъдеще.

4.Инвестиционният посредник извършва ежегодно изпитвания за проникване и проверки на уязвимостта, симулиращи кибернетични атаки.

5.Инвестиционният посредник гарантира, че е в състояние да установи всички лица, които са с критично важни потребителски права на достъп до информационните системи. Инвестиционният посредник ограничава броя на тези лица и наблюдава достъпа им до системите за информационни технологии, за да се осигури възможност за проследяване по всяко време.