Член 6

Рамка за управление на риска в областта на ИКТ

1. Финансовите субекти разполагат с надеждна, широкообхватна и добре документирана рамка за управление на риска в областта на ИКТ като част от цялостната им система за управление на риска, която им позволява да се справят бързо, ефикасно и широкообхватно с риска в областта на ИКТ и да поддържат високо равнище на оперативна устойчивост на цифровите технологии.

2. Рамката за управление на риска в областта на ИКТ включва най-малко стратегии, политики, процедури, протоколи за ИКТ и инструменти, основани на ИКТ, които са необходими за надлежната и подходяща защита на всички информационни активи и активи на ИКТ, включително компютърен софтуер, хардуер, сървъри, както и за защитата на всички относими физически компоненти и инфраструктури, като например помещения, центрове за данни и зони, определени като чувствителни, така че да се гарантира, че всички информационни активи и активи на ИКТ са подходящо защитени от рискове, включително от увреждане и непозволен достъп или използване.

3. В съответствие със своята рамка за управление на риска в областта на ИКТ финансовите субекти свеждат до минимум въздействието на риска в областта на ИКТ чрез прилагане на подходящи стратегии, политики, процедури, протоколи за ИКТ и инструменти. При поискване те предоставят на компетентните органи пълна и актуална информация за риска в областта на ИКТ и за своята рамка за управление на риска в областта на ИКТ.

4. Финансовите субекти, без микропредприятията, възлагат на дадена контролна функция отговорността за управление и надзор на риска в областта на ИКТ и осигуряват подходящо ниво на независимост на тази контролна функция, за да се избегнат конфликти на интереси. Финансовите субекти гарантират подходящо разделяне и независимост на функциите за управление на риска в областта на ИКТ, контролните функции и функциите за вътрешен одит, според модела на трите защитни слоя или свой модел за управление и контрол на риска.

5. Рамката за управление на риска в областта на ИКТ се документира и се преразглежда поне веднъж годишно — или периодично за микропредприятията — както и при съществени инциденти с ИКТ, като това се прави съобразно инструкциите на надзорните органи или заключенията, направени в резултат от съответните тестове на оперативната устойчивост на цифровите технологии или от одитните процеси. Рамката се усъвършенства непрекъснато въз основа на натрупания при нейното прилагане и наблюдаване опит. На компетентния орган се представя доклад за прегледа на рамката за управление на риска в областта на ИКТ при поискване от негова страна.

6. Рамката за управление на риска в областта на ИКТ на финансовите субекти, без микропредприятията, подлежи на редовен вътрешен одит от одитори в съответствие с плана за одит на финансовия субект. Тези одитори притежават достатъчно знания, умения и експертен опит във връзка с риска в областта на ИКТ, както и подходящо ниво на независимост. Честотата и насочеността на одитите на ИКТ са съобразени с риска в областта на ИКТ на финансовия субект.

7. Въз основа на заключенията от вътрешния одитен преглед финансовите субекти въвеждат официален процес на последващи действия, включително правила за своевременна проверка и отстраняване на критично важните проблеми, посочени в заключенията от одита на ИКТ.

8. Рамката за управление на риска в областта на ИКТ включва стратегия за оперативна устойчивост на цифровите технологии, в която се описва нейното прилагане. За тази цел в стратегията за оперативна устойчивост на цифровите технологии се посочват методите за противодействие на риска в областта на ИКТ и за постигането на конкретни цели в областта на ИКТ, както следва:

а) обяснява се как рамката за управление на риска в областта на ИКТ подпомага стратегията и целите, които финансовият субект си е поставил за своята стопанска дейност;

б) определя се нивото на толерантност към риска в областта на ИКТ според склонността на финансовия субект за поемане на риск и се проучва допустимата степен на въздействие при смущения на ИКТ;

в) залагат се ясни цели за сигурност на информацията, включително ключови показатели за ефективност и ключови рискови показатели;

г) обяснява се референтната архитектура на ИКТ и всички промени, необходими за постигането на конкретни цели за дейността;

д) очертават се различните въведени механизми за откриване на инциденти с ИКТ, за предотвратяване на тяхното въздействие и за осигуряване на защита срещу него;

е) демонстрира се текущото състояние на оперативната устойчивост на цифровите технологии въз основа на броя на съществените инциденти с ИКТ, за които е било съобщено, и ефективността на превантивните мерки;

ж) извършва се тестване на оперативната устойчивост на цифровите технологии в съответствие с глава IV от настоящия регламент;

з) очертава се комуникационната стратегия при настъпване на инциденти с ИКТ, чието оповестяване се изисква в съответствие с член 14.

9. Финансовите субекти могат, в контекста на стратегията за оперативна устойчивост на цифровите технологии, посочена в параграф 8, да определят цялостна стратегия за прибягване до множество доставчици на ИКТ, на равнище група или субект, в която се посочват ключовите зависимости от третите страни доставчици на услуги в областта на ИКТ и се обяснява логиката зад избора на съответните трети страни доставчици на услуги в областта на ИКТ.

10. Финансовите субекти могат, в съответствие с правото на Съюза и националното секторно право, да възлагат задачите по проверка на спазването на изискванията за управление на риска в областта на ИКТ на вътрешногрупови или външни предприятия. В случай на такова възлагане на външен изпълнител финансовият субект продължава да носи цялата отговорност за проверката на спазването на изискванията за управление на риска в областта на ИКТ.