Член 5

Управление и организация

1. Финансовите субекти разполагат с вътрешна рамка за управление и контрол, която гарантира ефективно и разумно управление на риска в областта на ИКТ, в съответствие с член 6, параграф 4, с оглед постигането на високо равнище на оперативна устойчивост на цифровите технологии.

2. Ръководният орган на финансовия субект определя, одобрява, упражнява надзор върху и носи отговорност за изпълнението на всички действия във връзка с посочената в член 6, параграф 1 рамка за управление на риска в областта на ИКТ.

За целите на първа алинея ръководният орган:

а)носи крайната отговорност за управлението на риска в областта на ИКТ за финансовия субект;

б)въвежда политики, които имат за цел да осигурят поддържането на високи стандарти за наличността, автентичността, цялостността и поверителността на данните;

в)определя ясни роли и отговорности за всички свързани с ИКТ длъжности и установява подходящи правила за управление, за да се гарантират ефективна и навременна комуникация, сътрудничество и координация между тези длъжности;

г)носи цялостната отговорност за изготвянето и одобряването на стратегията за оперативна устойчивост на цифровите технологии, посочена в член 6, параграф 8, включително за определянето на подходящото ниво на толерантност към риска в областта на ИКТ за финансовия субект, както е посочено в член 6, параграф 8, буква б);

д)одобрява, упражнява надзор и периодично прави преглед на изпълнението на политиката на финансовия субект за непрекъснатост на дейността на ИКТ и на плановете му за реакция и възстановяване на ИКТ, посочени в член 11, съответно параграфи 1 и 3, които може да се приемат като целенасочена специфична политика, представляваща неразделна част от цялостната политика на финансовия субект за непрекъснатост на дейността и от плана за реакция и възстановяване;

е)одобрява и периодично прави преглед на плановете на финансовия субект за вътрешен одит на ИКТ, на одитите на ИКТ и на съществените промени в тях;

ж)разпределя и периодично прави преглед на подходящия бюджет за покриване на потребностите на финансовия субект във връзка с оперативната устойчивост на цифровите технологии по отношение на всички видове ресурси, включително съответните програми за повишаване на осведомеността за сигурността на ИКТ и обучението за оперативната устойчивост на цифровите технологии, посочени в член 13, параграф 6, както и уменията в областта на ИКТ на целия персонал;

з)одобрява и периодично прави преглед на политиката на финансовия субект относно споразуменията за използването на услуги в областта на ИКТ, предоставяни от трети страни доставчици на такива услуги;

и)въвежда канали за докладване на корпоративно равнище, които му позволяват да бъде надлежно информиран за:

i)споразуменията, сключени с трети страни доставчици на услуги в областта на ИКТ относно използването на такива услуги,

ii)всякакви относими планирани съществени промени по отношение на третите страни доставчици на услуги в областта на ИКТ,

iii)потенциалното отражение на такива промени върху критичните или важните функции, предмет на тези споразумения, включително обобщен анализ на риска, за да се оцени въздействието на тези промени, и поне съществените инциденти с ИКТ и тяхното въздействие, както и мерките за реакция и възстановяване и корективните мерки.

3. Финансовите субекти, без микропредприятията, определят функция, която да осъществява наблюдение върху сключените с третите страни доставчици на услуги в областта на ИКТ договорни споразумения за използване на услуги в областта на ИКТ или възлагат на член на висшето ръководство да упражнява надзор върху свързания с тези доставчици риск и съответната документация.

4. Членовете на ръководния орган на финансовия субект активно поддържат достатъчно актуални знания и умения, за да разбират и оценяват рисковете в областта на ИКТ и тяхното въздействие върху дейността на финансовия субект, включително като редовно преминават специално обучение, съизмеримо с управлявания риск в областта на ИКТ.