Член 13

Обучение и развитие

1. Финансовите субекти разполагат с оперативен капацитет и персонал, които да събират информация за уязвимите места, киберзаплахите, инцидентите с ИКТ — особено кибератаките, и да анализират вероятното им въздействие върху оперативната устойчивост на използваните от тези субекти цифрови технологии.

2. Финансовите субекти извършват прегледи на възникналите инциденти с ИКТ, след като съществен инцидент с ИКТ прекъсне основната им дейност, за да проучат причините за смущението и да установят какво е необходимо да се подобри в основаните на ИКТ операции или в посочената в член 11 политика за непрекъснатост на дейността на ИКТ.

При поискване финансовите субекти, без микропредприятията, съобщават на компетентните органи промените, които са били въведени след посочените в първа алинея прегледи на възникналите инциденти с ИКТ.

С посочените в първа алинея прегледи на възникналите инциденти с ИКТ се установява дали са били спазени въведените процедури и дали са били ефективни предприетите действия, включително по отношение на следното:

а)бързината на реагиране на предупредителните сигнали и установяване на въздействието на инцидентите с ИКТ и на тяхната сериозност;

б)качеството и бързината на техническата експертиза, когато извършването на такава е счетено за целесъобразно;

в)ефективността на процедурата на финансовия субект за пренасочване на управлението на инцидентите;

г)ефективността на вътрешната и външната комуникация.

3. В процеса на оценка на риска в областта на ИКТ надлежно и непрекъснато се добавя натрупаният опит от проведените в съответствие с членове 26 и 27 тестове на оперативната устойчивост на цифровите технологии, от реалните инциденти с ИКТ — особено кибератаките, както и от срещнатите предизвикателства при задействането на плановете за непрекъснатост на дейността на ИКТ и плановете за реакция и възстановяване на ИКТ, а така също и съответната информация, обменяна с контрагентите и оценявана при надзорните прегледи. Тези констатации съставляват основата на подходящи преразглеждания на съответните компоненти на посочената в член 6, параграф 1 рамка за управление на риска в областта на ИКТ.

4. Финансовите субекти наблюдават доколко ефективно се провежда стратегията им за оперативна устойчивост на цифровите технологии, посочена в член 6, параграф 8. С цел да определят степента, в която техните ИКТ са изложени на риск, особено във връзка с критични или важни функции, и да развият зрялостта и подготвеността си в сферата на киберсигурността, финансовите субекти картографират тенденцията при рисковете в областта на ИКТ във времето, анализират честотата, видовете и мащаба на инцидентите с ИКТ, както и начина, по който те се променят, особено що се отнася до кибератаките и техните модели.

5. Най-малко веднъж годишно висшите служители, работещи с ИКТ, представят на ръководния орган посочените в параграф 3 констатации и правят препоръки.

6. Финансовите субекти разработват и включват като задължителни модули в схемите си за обучение на персонала програми за повишаване на осведомеността за сигурността на ИКТ и обучения по оперативна устойчивост на цифровите технологии. Тези програми и обучения се прилагат за всички служители и за висшето ръководство и имат ниво на сложност, съобразено с обхвата на техните функции. Когато е целесъобразно, финансовите субекти включват и третите страни доставчици на услуги в областта на ИКТ в съответните си схеми за обучение в съответствие с член 30, параграф 2, буква и).

7. Финансовите субекти, без микропредприятията, постоянно следят развитието на съответните технологии, също и с цел да проучат потенциалното въздействие от внедряването на такива нови технологии върху изискванията за сигурност на ИКТ и оперативната устойчивост на цифровите технологии. Те се запознават с най-новите процеси за управление на риска в областта на ИКТ, за да могат ефективно да противодействат на настоящите или новите форми на кибератаки.