Член 11

Реакция и възстановяване

1. Като част от посочената в член 6, параграф 1 рамка за управление на риска в областта на ИКТ и въз основа на посочените в член 8 изисквания за идентифициране, финансовите субекти въвеждат широкообхватна политика за непрекъснатост на дейността на ИКТ, която може да бъде приета като специална отделна политика, явяваща се неразделна част от цялостната политика на финансовия субект за непрекъснатост на дейността.

2. Финансовите субекти прилагат политиката за непрекъснатост на дейността на ИКТ чрез специални, подходящи и документирани правила, планове, процедури и механизми, които имат за цел:

а) да се осигури непрекъснатостта на критичните или важните функции на финансовия субект;

б) да се предприемат бързи, подходящи и ефективни ответни действия и разрешаване на всички инциденти с ИКТ, така че да се ограничават щетите и да се отдава приоритет на възобновяването на функционирането и на възстановяването на информацията;

в) след всеки вид инцидент с ИКТ да се задействат без забавяне специални планове за прилагане на мерки, процеси и технологии за овладяването му и за предотвратяването на допълнителни щети, както и специални процедури за реакция и възстановяване, установени в член 12;

г) да се прави оценка на предварителните последици, щети и загуби;

д) да се определят действията за комуникация и за управление на кризи с цел актуализираната информация да се предаде на всички имащи отношение вътрешни служители и външни заинтересовани страни — както е посочено в член 14, и да се докладва на компетентните органи — както е посочено в член 19.

3. Като част от посочената в член 6, параграф 1 рамка за управление на риска в областта на ИКТ финансовите субекти прилагат свързани с нея планове за реакция и възстановяване на ИКТ, които при всички финансови субекти освен микропредприятията подлежат на независими вътрешни одитни прегледи.

4. Финансовите субекти въвеждат, поддържат и периодично тестват подходящи планове за непрекъснатост на дейността на ИКТ, по-специално по отношение на критичните или важните функции, възложени с договори на трети страни доставчици на услуги в областта на ИКТ.

5. Като част от цялостната политика за непрекъснатост на дейността финансовите субекти извършват анализ на въздействието върху дейността (АВД) на експозициите си към сериозни смущения в дейността. В рамките на АВД финансовите субекти оценяват потенциалното въздействие на сериозните смущения в дейността въз основа на количествени и качествени критерии, като използват вътрешни и външни данни и анализ на сценарии, ако е целесъобразно. АВД разглежда доколко са критични идентифицираните и описани работни функции, поддържащи процеси, зависимости от трета страна и информационните активи, както и тяхната взаимозависимост. Финансовите субекти гарантират, че активите на ИКТ и услугите в областта на ИКТ се проектират и използват в пълно съответствие с АВД, по-специално с цел да се осигури адекватно възпроизвеждане на всички критични компоненти.

6. Като част от широкообхватното си управление на риска в областта на ИКТ финансовите субекти:

а) тестват плановете за непрекъснатост на дейността на ИКТ и плановете за реакция и възстановяване на ИКТ във връзка със системите на ИКТ, поддържащи всички функции, най-малко веднъж годишно, както и при съществени промени в системите на ИКТ, които поддържат критични или важни функции;

б) тестват изготвените в съответствие с член 14 планове за комуникация при криза.

За целите на първа алинея, буква а) финансовите субекти, без микропредприятията, предвиждат в тестовите си планове сценарии за кибератаки и преминаване от първичната инфраструктура на ИКТ към възпроизвеждащия я капацитет, резервни копия и възпроизвеждащи системи, необходими за изпълнение на задълженията по член 12.

Финансовите субекти извършват редовен преглед на своята политика за непрекъснатост на дейността на ИКТ и на плановете си за реакция и възстановяване на ИКТ, като вземат предвид резултатите тестовете, от проведени съгласно първа алинея, и препоръките от одитните проверки или надзорните прегледи.

7. Финансовите субекти, без микропредприятията, разполагат с функция за управление на кризи, която, при задействане на техните планове за непрекъснатост на дейността на ИКТ или на плановете им за реакция и възстановяване на ИКТ, наред с другото определя ясни процедури за управление на вътрешната и външната комуникация при кризи в съответствие с член 14.

8. При задействане на плановете им за непрекъснатост на дейността на ИКТ и на плановете им за реакция и възстановяване на ИКТ, финансовите субекти пазят леснодостъпни записи на действията преди и по време на събитията, нарушили обичайното функциониране.

9. Централните депозитари на ценни книжа предоставят на компетентните органи копия от резултатите от тестовете за непрекъснатост на дейността на ИКТ или от подобни упражнения.

10. Финансовите субекти, без микропредприятията, докладват на компетентните органи по тяхно искане предварителна оценка на агрегираните годишни разходи и загуби, причинени от съществени инциденти с ИКТ.

11. В съответствие с член 16 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010 ЕНО, чрез Съвместния комитет, разработват до 17 юли 2024 г. общи насоки за предварителната оценка на агрегираните годишни разходи и загуби, посочени в параграф 10.