Член 75

ИТ инфраструктура

1.Когато оценяват архитектурата на ИТ системите, отнасящи се до рейтинговите системи на институцията и до прилагането на вътрешнорейтинговия подход в съответствие с член 144 от Регламент (ЕС) № 575/2013, компетентните органи оценяват всички изброени по-долу аспекти:

а) архитектурата на ИТ системите, включително всички приложения, техните интерфейси и взаимодействия;

б) диаграма на потока от данни, на която е показано разпределение на най-важните приложения, бази данни и информационни компоненти, включени в прилагането на вътрешнорейтинговия подход и свързани с рейтинговите системи;

в) разпределението на притежателите на ИТ системи;

г) капацитета, възможността за промяна на мащаба и ефективността на ИТ системите;

д) ръководствата на ИТ системите и на базите данни.

2.Когато оценяват надеждността, безопасността и сигурността на ИТ инфраструктурата, отнасяща се до рейтинговите системи на институцията и до прилагането на вътрешнорейтинговия подход, компетентните органи проверяват дали:

а) ИТ инфраструктурата може да подпомага обичайните и извънредните процеси на институцията своевременно, автоматично и гъвкаво;

б) рискът от преустановяване на функционалностите на ИТ инфраструктурата („неизправности“), рискът от загуба на данни и рискът от неправилни оценки („грешки“) са преодолени по подходящ начин;

в) ИТ инфраструктурата е достатъчно защитена срещу кражби, измами, манипулации или саботаж на данните или системите от злонамерени вътрешни или външни лица.

3.Когато оценяват устойчивостта на ИТ инфраструктурата, отнасяща се до рейтинговите системи на институцията и до прилагането на вътрешнорейтинговия подход, компетентните органи проверяват дали:

а) процедурите за архивиране на ИТ системите, данните и документацията се изпълняват и тестват периодично;

б) са внедрени планове за действие за обезпечаване на непрекъснатото функциониране на критично важните ИТ системи;

в) процедурите за възстановяване на ИТ системите в случай на неизправност са определени и се тестват периодично;

г) управлението на потребителите на ИТ системи отговаря на съответните политики и процедури на институцията;

д) са внедрени одитни пътеки за критично важните ИТ системи;

е) управлението на промените в ИТ системите е адекватно и дали наблюдението на промените обхваща всички ИТ системи.

4.Когато оценяват дали ИТ инфраструктурата, която се отнася до рейтинговите системи на институцията и до прилагането на вътрешнорейтинговия подход, е предмет както на редовни прегледи, така и на ad hoc прегледи, компетентните органи проверяват дали:

а) в резултат на редовното наблюдение и ad hoc прегледите се формулират препоръки за преодоляване на слабостите или недостатъците, когато такива са открити;

б) констатациите и препоръките, посочени в буква а), се оповестяват на висшето ръководство и на ръководния орган на институцията;

в) са налице подходящи уверения, че е обърнато достатъчно внимание на препоръките и че те са изпълнени от институцията.