Член 16

Опростена рамка за управление на риска в областта на ИКТ

1. Членове 5—15 от настоящия регламент не се прилагат за малки и невзаимосвързани инвестиционни посредници, платежни институции, освободени съгласно Директива (ЕС) 2015/2366; институции, освободени съгласно Директива 2013/36/ЕС, по отношение на които държавите членки са решили да не прилагат възможността, посочена в член 2, параграф 4 от настоящия регламент; институции за електронни пари, освободени съгласно Директива 2009/110/ЕО; и малки институции за професионално пенсионно осигуряване.

Без да се засяга първа алинея посочените в нея субекти:

а)въвеждат и поддържат стабилна и документирана рамка за управление на риска в областта на ИКТ, в която се описват подробно механизмите и мерките, насочени към бързо, ефикасно и многоаспектно управление на риска в областта на ИКТ, включително за защита на съответните физически компоненти и инфраструктури;

б)непрекъснато наблюдават сигурността и функционирането на всички системи на ИКТ;

в)свеждат до минимум въздействието на риска в областта на ИКТ чрез използване на стабилни, устойчиви и поддържани в актуален вид системи и протоколи на ИКТ и основани на ИКТ инструменти, които са подходящи да подпомагат изпълнението на техните дейности и предоставянето на услуги, и защитават адекватно наличността, автентичността, цялостността и поверителността на данните в мрежовите и информационните системи;

г)осигуряват възможност за бързо установяване и откриване на източниците на риск в областта на ИКТ и аномалии в мрежовите и информационните системи и за бързо справяне с инциденти с ИКТ;

д)определят ключовите зависимости от третите страни доставчици на услуги в областта на ИКТ;

е)осигуряват непрекъснатостта на критичните и важните функции чрез планове за непрекъснатост на дейността и мерки за реакция и възстановяване, които включват най-малко мерки за съхраняване на резервни копия и възстановяване;

ж)редовно тестват плановете и мерките, посочени в буква е), както и ефективността на мерките за контрол, предприети в съответствие с букви а) и в);

з)прилагат, по целесъобразност, съответните оперативни заключения, произтичащи от тестовете, посочени в буква ж), и от анализа след инциденти в процеса на оценка на риска в областта на ИКТ, и разработват, в съответствие с нуждите и профила на риска в областта на ИКТ, програми за повишаване на осведомеността за сигурността на ИКТ и обучения по оперативна устойчивост на цифровите технологии за персонала и ръководството.

2. Рамката за управление на риска в областта на ИКТ, посочена в параграф 1, втора алинея, буква а), се документира и преразглежда периодично и при възникване на съществени инциденти с ИКТ в съответствие с надзорните инструкции. Рамката се усъвършенства непрекъснато въз основа на натрупания при нейното прилагане и наблюдаване опит. На компетентния орган се представя доклад за прегледа на рамката за управление на риска в областта на ИКТ при поискване от негова страна.

3. В рамите на съвместния комитет и в консултации с ENISA ЕНО разработват общи проекти на регулаторни технически стандарти с оглед на следното:

а) доуточняване на елементите, които да бъдат включени в рамката за управление на риска в областта на ИКТ, посочена в параграф 1, втора алинея, буква а);

б) доуточняване на елементите във връзка със системите, протоколите и инструментите за свеждане до минимум на въздействието на риска в областта на ИКТ, посочено в параграф 1, втора алинея, буква в), така че да се гарантира сигурността на мрежите, да се създадат подходящи защитни механизми срещу проникване и срещу злоупотреба с данните, да се запазят наличността, автентичността, цялостността и поверителността на данните;

в) доуточняване на компонентите на плановете за непрекъснатост на дейността на ИКТ, посочени в параграф 1, втора алинея, буква е);

г) доуточняване на правилата за тестване на плановете за непрекъснатост на дейността и гарантиране на ефективността на мерките за контрол, посочени в параграф 1, втора алинея, буква ж), и гарантиране това тестване надлежно да обхваща всички сценарии, при които критична или важна функция се предоставя с неприемливо ниско качество или не се предоставя изобщо;

д) доуточняване на съдържанието и формата на доклада за прегледа на рамката за управление на риска в областта на ИКТ, посочен в параграф 2.

Когато разработват тези проекти на регулаторни технически стандарти, ЕНО вземат предвид размера и цялостния рисков профил на финансовите субекти и естеството, мащаба и сложността на техните услуги, дейности и операции.

ЕНО предават на Комисията тези проекти на регулаторни технически стандарти до 17 януари 2024 г.

На Комисията се делегират правомощия да допълни настоящия регламент, като приеме посочените в първа алинея регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.