Šis dokuments ir izvilkums no tīmekļa vietnes EUR-Lex.
Dokuments 02024R1774-20240625
Commission Delegated Regulation (EU) 2024/1774 of 13 March 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying ICT risk management tools, methods, processes, and policies and the simplified ICT risk management framework (Text with EEA relevance)
Konsolidēts teksts: Komisijas Deleģētā regula (ES) 2024/1774 (2024. gada 13. marts), ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, kuri nosaka IKT riska pārvaldības rīkus, metodes, procesus un politiku, un vienkāršoto IKT riska pārvaldības sistēmu (Dokuments attiecas uz EEZ)
Komisijas Deleģētā regula (ES) 2024/1774 (2024. gada 13. marts), ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, kuri nosaka IKT riska pārvaldības rīkus, metodes, procesus un politiku, un vienkāršoto IKT riska pārvaldības sistēmu (Dokuments attiecas uz EEZ)
02024R1774 — LV — 25.06.2024 — 000.002
Šis dokuments ir tikai informatīvs, un tam nav juridiska spēka. Eiropas Savienības iestādes neatbild par tā saturu. Attiecīgo tiesību aktu un to preambulu autentiskās versijas ir publicētas Eiropas Savienības “Oficiālajā Vēstnesī” un ir pieejamas datubāzē “Eur-Lex”. Šie oficiāli spēkā esošie dokumenti ir tieši pieejami, noklikšķinot uz šajā dokumentā iegultajām saitēm
|
KOMISIJAS DELEĢĒTĀ REGULA (ES) 2024/1774 (2024. gada 13. marts), ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, kuri nosaka IKT riska pārvaldības rīkus, metodes, procesus un politiku, un vienkāršoto IKT riska pārvaldības sistēmu (OV L 1774, 25.6.2024., 1. lpp) |
Labota ar:
|
Kļūdu labojums, OV L 90420, 15.5.2025, lpp 1 ((ES) 2024/17742024/1774) |
KOMISIJAS DELEĢĒTĀ REGULA (ES) 2024/1774
(2024. gada 13. marts),
ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, kuri nosaka IKT riska pārvaldības rīkus, metodes, procesus un politiku, un vienkāršoto IKT riska pārvaldības sistēmu
(Dokuments attiecas uz EEZ)
I SADAĻA
VISPĀRĪGAIS PRINCIPS
1. pants
Vispārējais riska profils un sarežģītība
Izstrādājot un īstenojot IKT drošības politiku, procedūras, protokolus un rīkus, kas minēti II sadaļā, un vienkāršoto IKT riska pārvaldības sistēmu, kas minēta III sadaļā, ņem vērā finanšu vienības lielumu un vispārējo riska profilu un tās pakalpojumu, pasākumu un darbību veidu, mērogu un palielinātas vai samazinātas sarežģītības elementus, tajā skaitā elementus, kas saistīti ar:
šifrēšanu un kriptogrāfiju;
IKT darbību drošību;
tīkla drošību;
IKT projektu un izmaiņu pārvaldību;
IKT riska potenciālo ietekmi uz datu konfidencialitāti, integritāti un pieejamību un traucējumu potenciālo ietekmi uz finanšu vienības darbību nepārtrauktību un pieejamību.
II SADAĻA
IKT RISKA PĀRVALDĪBAS RĪKU, METOŽU, PROCESU UN POLITIKAS TĀLĀKA SASKAŅOŠANA SASKAŅĀ AR REGULAS (ES) 2022/2554 15. PANTU
I NODAĻA
IKT drošības politika, procedūras, protokoli un rīki
2. pants
IKT drošības politikas, procedūru, protokolu un rīku vispārējie elementi
Finanšu vienības nodrošina, ka to IKT drošības politika, informācijas drošība un saistītās procedūras, protokoli un rīki, kas minēti Regulas (ES) 2022/2554 9. panta 2. punktā, ir integrēti to IKT riska pārvaldības sistēmā. Finanšu vienības ievieš IKT drošības politiku, procedūras, protokolus un rīkus, kas noteikti šajā nodaļā un kas:
nodrošina tīklu drošību;
ietver aizsardzību pret ielaušanos sistēmā un datu ļaunprātīgu izmantošanu;
saglabā datu pieejamību, autentiskumu, integritāti un konfidencialitāti, arī izmantojot kriptogrāfijas metodes;
garantē datu precīzu un ātru pārraidi bez būtiskiem traucējumiem un nepamatotiem kavējumiem.
Finanšu vienības nodrošina, ka 1. punktā minētā IKT drošības politika:
ir pielāgota finanšu vienības informācijas drošības mērķiem, kas noteikti Regulas (ES) 2022/2554 6. panta 8. punktā minētajā digitālās darbības noturības stratēģijā;
norāda datumu, kad vadības struktūra formāli apstiprinājusi IKT drošības politiku;
ietver rādītājus un pasākumus, lai:
uzraudzītu IKT drošības politikas, procedūru, protokolu un rīku īstenošanu;
reģistrētu izņēmumus attiecībā uz šo īstenošanu;
nodrošinātu, ka tiek garantēta finanšu vienības digitālās darbības noturība ii) punktā minēto izņēmumu gadījumā;
skaidri nosaka darbinieku atbildību visos līmeņos, lai nodrošinātu finanšu vienības IKT drošību;
skaidri nosaka sekas, kādas rodas, ja finanšu vienības darbinieki neievēro IKT drošības politiku, ja noteikumi šajā sakarā nav paredzēti citā finanšu vienības politikā;
nosaka uzturamās dokumentācijas sarakstu;
skaidri nosaka uzdevumu sadalījumu saistībā ar trīs aizsardzības līniju modeli vai attiecīgi citu iekšējās riska pārvaldības un kontroles modeli, lai izvairītos no interešu konfliktiem;
ņem vērā paraugpraksi un attiecīgā gadījumā standartus, kas noteikti Regulas (ES) Nr. 1025/2012 2. panta 1. punktā;
nosaka uzdevumus un atbildību par IKT drošības politikas, procedūru, protokolu un rīku izstrādi, īstenošanu un uzturēšanu;
tiek pārskatīta saskaņā ar Regulas (ES) 2022/2554 6. panta 5. punktu;
ņem vērā būtiskās izmaiņas saistībā ar finanšu vienību, tajā skaitā būtiskās izmaiņas finanšu vienības darbībās vai procesos, kiberdraudu vidē vai piemērojamos juridiskajos pienākumos.
3. pants
IKT riska pārvaldība
Finanšu vienības izstrādā, dokumentē un īsteno IKT riska pārvaldības politiku un procedūras, kas ietver visus no šiem elementiem:
norāde par riska tolerances līmeņa IKT riskam, kas noteikts saskaņā ar Regulas (ES) 2022/2554 6. panta 8. punkta b) apakšpunktu, apstiprināšanu;
procedūra un metodika IKT riska novērtējuma veikšanai, norādot:
ievainojamību un apdraudējumus, kas ietekmē vai var ietekmēt atbalstītās darbības funkcijas, IKT sistēmas un IKT aktīvus, kas atbalsta šīs funkcijas;
kvantitatīvos vai kvalitatīvos rādītājus i) apakšpunktā minētās ievainojamības un apdraudējumu ietekmes un varbūtības novērtēšanai;
procedūra, ko izmanto, lai noteiktu, īstenotu un dokumentētu IKT riska risinājumu pasākumus attiecībā uz identificētajiem un novērtētajiem IKT riskiem, tajā skaitā noteiktu IKT riska risinājumu pasākumus, kas nepieciešami, lai panāktu, ka IKT risks atbilst a) punktā minētajam riska tolerances līmenim;
attiecībā uz atlikušajiem IKT riskiem, kas joprojām pastāv pēc c) punktā minēto IKT riska risinājumu pasākumu īstenošanas:
noteikumi par šo atlikušo IKT risku identificēšanu;
uzdevumu un atbildības noteikšana attiecībā uz:
to atlikušo IKT risku pieņemšanu, kuri pārsniedz a) punktā minēto finanšu vienības riska tolerances līmeni;
pārskatīšanas procesu, kas minēts šā d) punkta iv) apakšpunktā;
pieņemto atlikušo IKT risku inventarizācijas izstrāde, ietverot pamatojumu to pieņemšanai;
noteikumi par pieņemto atlikušo IKT risku pārskatīšanu vismaz reizi gadā, ietverot:
norādi par jebkādām atlikušo IKT risku izmaiņām;
pieejamo risku mazināšanas pasākumu novērtējumu;
novērtējumu par to, vai iemesli, kas pamato atlikušo IKT risku pieņemšanu, joprojām ir spēkā un piemērojami pārskatīšanas datumā;
noteikumi par to, kā uzrauga:
jebkādas izmaiņas IKT risku un kiberdraudu vidē;
iekšējo un ārējo ievainojamību un apdraudējumus;
finanšu vienības IKT risku, lai varētu ātri atklāt izmaiņas, kas varētu ietekmēt tās IKT riska profilu;
noteikumi par procesu, ar kuru nodrošina, ka tiek ņemtas vērā jebkādas izmaiņas finanšu vienības darbības stratēģijā un digitālās darbības noturības stratēģijā.
Pirmās daļas c) punkta nolūkos minētajā punktā norādītā procedūra nodrošina:
īstenoto IKT riska risinājuma pasākumu efektivitātes uzraudzību;
novērtējumu par to, vai ir sasniegti finanšu vienības noteiktie riska tolerances līmeņi;
novērtējumu par to, vai finanšu vienība ir veikusi darbības, lai vajadzības gadījumā koriģētu vai uzlabotu minētos pasākumus.
4. pants
IKT aktīvu pārvaldības politika
Šā panta 1. punktā minētā IKT aktīvu pārvaldības politika:
paredz saskaņā ar Regulas (ES) 2022/2554 8. panta 1. punktu identificēto un klasificēto IKT aktīvu aprites cikla uzraudzību un pārvaldību;
paredz, ka finanšu vienības veic uzskaiti par visu turpmāk minēto:
katra IKT aktīva unikālais identifikators;
informācija par visu IKT aktīvu fizisko vai loģisko atrašanās vietu;
visu IKT aktīvu klasifikācija, kā minēts Regulas (ES) 2022/2254 8. panta 1. punktā;
IKT aktīvu īpašnieku identitāte;
IKT aktīva atbalstītās uzņēmējdarbības funkcijas vai pakalpojumi;
IKT darbības nepārtrauktības prasības, tajā skaitā atgūšanas laika mērķi un atgūšanas punkta mērķi;
vai IKT aktīvs var būt vai ir pakļauts ārējiem tīkliem, tajā skaitā internetam;
saiknes un savstarpējā atkarība starp IKT aktīviem un uzņēmējdarbības funkcijām, kas izmanto katru IKT aktīvu;
attiecīgā gadījumā par visiem IKT aktīviem – trešo personu, kas sniedz pakalpojumus, parasto, paplašināto un pielāgoto atbalsta pakalpojumu beigu datumi, pēc kuriem šos IKT aktīvus to piegādātājs vai trešā persona, kas sniedz IKT pakalpojumus, vairs neatbalsta;
attiecībā uz finanšu vienībām, kas nav mikrouzņēmumi, paredz, ka šīm finanšu vienībām jāveic tās informācijas uzskaite, kas nepieciešama, lai veiktu īpašu IKT riska novērtējumu par visām mantotajām IKT sistēmām, kas minētas Regulas (ES) 2022/2554 8. panta 7. punktā.
5. pants
IKT aktīvu pārvaldības procedūra
Šā panta 1. punktā minētajā IKT aktīvu pārvaldības procedūrā nosaka kritērijus, pēc kuriem veic informācijas aktīvu un IKT aktīvu, kas atbalsta uzņēmējdarbības funkcijas, kritiskuma novērtējumu. Minētajā novērtējumā ņem vērā:
IKT risku, kas saistīts ar minētajām uzņēmējdarbības funkcijām un to atkarību no informācijas aktīviem vai IKT aktīviem;
to, kā šādu informācijas aktīvu un IKT aktīvu konfidencialitātes, integritātes un pieejamības zaudēšana ietekmētu finanšu vienības uzņēmējdarbības procesus un darbības.
6. pants
Šifrēšanas un kriptogrāfijas kontroles
Finanšu vienības izstrādā 1. punktā minēto šifrēšanas un kriptogrāfijas kontroļu politiku, pamatojoties uz apstiprinātas datu klasifikācijas un IKT riska novērtējuma rezultātiem. Minētā politika ietver noteikumus par visu turpmāk minēto:
glabāšanā vai pārsūtīšanā esošu datu šifrēšana;
ja nepieciešams, lietošanā esošu datu šifrēšana;
iekšējo tīklu savienojumu un datplūsmas ar ārējām personām šifrēšana;
7. pantā minētā šifrēšanas atslēgu pārvaldība, paredzot noteikumus par kriptogrāfijas atslēgu pareizu izmantošanu, aizsardzību un aprites ciklu.
Šā panta b) punkta nolūkos, ja lietošanā esošu datu šifrēšana nav iespējama, finanšu vienības apstrādā lietošanā esošus datus nodalītā un aizsargātā vidē vai veic līdzvērtīgus pasākumus, lai nodrošinātu datu konfidencialitāti, integritāti, autentiskumu un pieejamību.
7. pants
Kriptogrāfijas atslēgu pārvaldība
8. pants
Politika un procedūras attiecībā uz IKT darbībām
Šā panta 1. punktā minētajā IKT darbību politikā un procedūrā iekļauj visus šos elementus:
IKT aktīvu apraksts, ietverot visu turpmāk minēto:
prasības attiecībā uz IKT sistēmas drošu instalēšanu, uzturēšanu, konfigurēšanu un atinstalēšanu;
prasības attiecībā uz IKT aktīvu izmantoto informācijas aktīvu pārvaldību, tajā skaitā to apstrādi un darbībām ar tiem – gan automatizētām, gan manuālām;
prasības attiecībā uz mantoto IKT sistēmu identifikāciju un kontroli;
IKT sistēmu kontroles un uzraudzība, ietverot visu turpmāk minēto:
prasības attiecībā uz IKT sistēmu rezerves kopiju veidošanu un atjaunošanu;
grafiku veidošanas prasības, ņemot vērā IKT sistēmu savstarpējo atkarību;
protokoli revīzijas izsekojamības un sistēmu žurnāla informācijai;
prasības, lai nodrošinātu, ka iekšējās revīzijas un citas testēšanas veikšana līdz minimumam samazina traucējumus uzņēmējdarbībā;
prasības par IKT ražošanas vides nodalīšanu no izstrādes, testēšanas un citām neražošanas vidēm;
prasības veikt izstrādi un testēšanu vidēs, kas ir nodalītas no ražošanas vides;
prasības veikt izstrādi un testēšanu ražošanas vidēs;
kļūdu apstrāde saistībā ar IKT sistēmām, ietverot visu turpmāk minēto:
procedūras un protokoli kļūdu apstrādei;
kontaktpersonas, kuras sniedz atbalstu un kurām ziņot, tajā skaitā ārējā atbalsta kontaktpersonas, pie kurām vērsties neparedzētu darbības vai tehnisku jautājumu gadījumā;
IKT sistēmu restartēšanas, atrites un atgūšanas procedūras izmantošanai IKT sistēmu traucējumu gadījumā.
Šā punkta b) apakšpunkta v) punkta nolūkos nodalīšanā ņem vērā visus vides komponentus, tajā skaitā kontus, datus vai savienojumus, kā prasīts 13. panta pirmās daļas a) punktā.
Šā punkta b) apakšpunkta vii) punkta nolūkos 1. punktā minētā politika un procedūras nodrošina, ka gadījumi, kad testēšanu veic ražošanas vidē, ir skaidri identificēti, pamatoti, ir uz ierobežotu laiku un ka tos apstiprinājusi attiecīgā funkcija saskaņā ar 16. panta 6. punktu. Finanšu vienības nodrošina IKT sistēmu un ražošanas datu pieejamību, konfidencialitāti, integritāti un autentiskumu izstrādes un testēšanas darbību laikā ražošanas vidē.
9. pants
Jaudas un veiktspējas pārvaldība
Kā daļu no Regulas (ES) 2022/2554 9. panta 2. punktā minētās IKT drošības politikas, procedūrām, protokoliem un rīkiem finanšu vienības izstrādā, dokumentē un īsteno jaudas un veiktspējas pārvaldības procedūras attiecībā uz turpmāk norādīto:
to IKT sistēmu jaudas prasību identifikācija;
resursu optimizācijas piemērošana;
uzraudzības procedūras, lai uzturētu un uzlabotu:
datu un IKT sistēmu pieejamību;
IKT sistēmu efektivitāti;
IKT jaudas trūkuma novēršanu.
10. pants
Ievainojamības un ielāpu pārvaldība
Šā panta 1. punktā minētās ievainojamības pārvaldības procedūras:
nosaka un atjaunina nozīmīgus un uzticamus informācijas resursus, lai veidotu un uzturētu informētību par ievainojamību;
nodrošina automatizētas ievainojamības skenēšanas un IKT aktīvu novērtējumu veikšanu, kur šo darbību biežums un tvērums ir samērīgs ar klasifikāciju, kas noteikta saskaņā ar Regulas (ES) 2022/2554 8. panta 1. punktu, un ar IKT aktīva vispārējo riska profilu;
pārbauda, vai:
trešās personas, kas sniedz IKT pakalpojumus, rīkojas attiecībā uz ievainojamību, kas saistīta ar finanšu vienībai sniegtajiem IKT pakalpojumiem;
minētie pakalpojumu sniedzēji laikus ziņo finanšu vienībai vismaz par kritisku ievainojamību un statistiku un tendencēm;
seko līdzi tam, kā izmanto:
trešo personu bibliotēkas, tajā skaitā atklātā pirmkoda bibliotēkas, ko izmanto IKT pakalpojumi, kuri atbalsta kritiskas vai svarīgas funkcijas;
IKT pakalpojumus, ko izstrādājusi pati finanšu vienība vai ko finanšu vienībai īpaši pielāgojusi vai izstrādājusi trešā persona, kura sniedz IKT pakalpojumus;
nosaka procedūras atbildīgai ievainojamības atklāšanai klientiem, darījumu partneriem un sabiedrībai;
nosaka ielāpu un citu riska mazināšanas pasākumu izvēršanas prioritātes identificētās ievainojamības risināšanai;
uzrauga un verificē ievainojamības izlabošanu;
pieprasa, lai tiek reģistrēta jebkura atklātā ievainojamība, kas ietekmē IKT sistēmas, un tiek uzraudzīta ievainojamības atrisināšana.
Šā punkta b) apakšpunkta nolūkos finanšu vienības vismaz reizi nedēļā veic automatizētu ievainojamības skenēšanu un novērtējumus par IKT aktīviem, kas atbalsta kritiski svarīgas vai svarīgas funkcijas.
Šā punkta c) apakšpunkta nolūkos finanšu vienības pieprasa, lai trešās personas, kas sniedz IKT pakalpojumus, izmeklē attiecīgo ievainojamību, noskaidro cēloņus un īsteno attiecīgus riska mazināšanas pasākumus.
Šā punkta d) apakšpunkta nolūkos finanšu vienības, attiecīgā gadījumā sadarbojoties ar trešo personu, kas sniedz IKT pakalpojumus, uzrauga trešo personu bibliotēku versiju un iespējamos atjauninājumus. Attiecībā uz gataviem (plašpatēriņa) IKT aktīviem vai IKT aktīvu komponentiem, kas iegādāti un ko izmanto tādu IKT pakalpojumu darbībā, kuri neatbalsta kritiski svarīgas vai svarīgas funkcijas, finanšu vienības, ciktāl iespējams, seko līdzi trešo personu bibliotēku, tajā skaitā atklātā pirmkoda bibliotēku, izmantojumam.
Šā punkta f) apakšpunkta nolūkos finanšu vienības ņem vērā ievainojamības kritiskumu, klasifikāciju, kas noteikta saskaņā ar Regulas (ES) 2022/2554 8. panta 1. punktu, un identificētās ievainojamības ietekmēto IKT aktīvu riska profilu.
Šā panta 3. punktā minētās ielāpu pārvaldības procedūras:
ciktāl iespējams, izmantojot automatizētus rīkus, identificē un izvērtē pieejamos programmatūras un aparatūras ielāpus un atjauninājumus;
nosaka ārkārtas rīcības procedūras attiecībā uz IKT aktīvu ielāpiem un atjauninājumiem;
testē un ievieš programmatūras un aparatūras ielāpus un atjauninājumus, kas minēti 8. panta 2. punkta b) apakšpunkta v), vi) un vii) punktā;
nosaka termiņus programmatūras un aparatūras ielāpu un atjauninājumu instalēšanai un eskalācijas procedūras gadījumam, ja šos termiņus nevar ievērot.
11. pants
Datu un sistēmu drošība
Šā panta 1. punktā minētā datu un sistēmu drošības procedūra ietver visus turpmāk uzskaitītos elementus, kas saistīti ar datu un IKT sistēmu drošību, atbilstoši klasifikācijai, kas noteikta saskaņā ar Regulas (ES) 2022/2554 8. panta 1. punktu:
šīs regulas 21. pantā minētie piekļuves ierobežojumi, kas atbalsta aizsardzības prasības katram klasifikācijas līmenim;
drošas bāzkonfigurācijas identifikācija IKT aktīviem, kas mazina šo IKT aktīvu pakļaušanu kiberdraudiem, un pasākumi, lai regulāri pārbaudītu, vai šī bāzkonfigurācija tiek efektīvi izmantota;
drošības pasākumu identifikācija, lai nodrošinātu, ka IKT sistēmās un galapunkta ierīcēs tiek instalēta tikai atļauta programmatūra;
drošības pasākumu identifikācija aizsardzībai pret ļaunprātīgiem kodiem;
drošības pasākumu identifikācija, lai nodrošinātu, ka finanšu vienības datu pārsūtīšanai un glabāšanai tiek izmantoti tikai atļauti datu nesēji, sistēmas un galapunkta ierīces;
šādas prasības, lai aizsargātu pārnēsājamu galapunkta ierīču un privātu nepārnēsājamu galapunkta ierīču izmantošanu:
prasība izmantot pārvaldības risinājumu, lai attālināti pārvaldītu galapunkta ierīces un attālināti dzēstu finanšu vienības datus;
prasība izmantot drošības mehānismus, ko neatļautā veidā nevar pārveidot, atcelt vai apiet darbinieki vai trešās personas, kuras sniedz IKT pakalpojumus;
prasība izmantot noņemamus datu nesējus tikai tad, ja atlikušais IKT risks joprojām ir finanšu vienības riska tolerances līmenī, kas minēts 3. panta pirmās daļas a) punktā;
process to datu drošai dzēšanai, kas tiek turēti finanšu vienības telpās vai tiek glabāti ārēji un ko finanšu vienībai vairs nav nepieciešams vākt vai glabāt;
process to datu glabāšanas ierīču drošai utilizācijai vai izņemšanai no ekspluatācijas, kas atrodas finanšu vienības telpās vai tiek glabātas ārēji un kas satur konfidenciālu informāciju;
drošības pasākumu identifikācija un īstenošana, lai novērstu datu zaudēšanu vai noplūdi attiecībā uz sistēmām un galapunkta ierīcēm;
drošības pasākumu īstenošana, lai nodrošinātu, ka tāldarbs un privātu galapunkta ierīču izmantošana nelabvēlīgi neietekmē finanšu vienības IKT drošību;
attiecībā uz IKT aktīviem vai pakalpojumiem, ko pārvalda trešā persona, kura sniedz IKT pakalpojumus, – prasību identifikācija un īstenošana, lai uzturētu digitālās darbības noturību, saskaņā ar datu klasifikācijas un IKT riska novērtējuma rezultātiem.
Šā punkta b) apakšpunkta nolūkos minētajā apakšpunktā norādītajā drošajā konfigurācijā ņem vērā paraugpraksi un atbilstošas metodes, kas noteiktas standartos, kuri definēti Regulas (ES) Nr. 1025/2012 2. panta 1. punktā.
Šā punkta k) apakšpunkta nolūkos finanšu vienības ņem vērā:
piegādātāju ieteikto iestatījumu īstenošanu attiecībā uz elementiem, ko pārvalda finanšu vienība;
ar informācijas drošību saistīto uzdevumu un atbildības skaidru sadali starp finanšu vienību un trešo personu, kas sniedz IKT pakalpojumus, saskaņā ar principu, kas nosaka, ka finanšu vienībai ir pilna atbildība par trešo personu, kas tai sniedz IKT pakalpojumus un kas minēta Regulas (ES) 2022/2554 28. panta 1. punkta a) apakšpuktā, un par finanšu vienībām, kas minētas norādītās regulas 28. panta 2. punktā, un saskaņā ar finanšu vienības politiku attiecībā uz to IKT pakalpojumu izmantošanu, kas atbalsta kritiskas vai svarīgas funkcijas;
vajadzību nodrošināt un uzturēt finanšu vienībā atbilstošas kompetences izmantotā pakalpojuma pārvaldībā un drošībā;
tehniskos un organizatoriskos pasākumus, lai mazinātu riskus, kas saistīti ar infrastruktūru, kuru trešā persona, kas sniedz IKT pakalpojumus, izmanto saviem IKT pakalpojumiem, ņemot vērā paraugpraksi un standartus, kas noteikti Regulas (ES) Nr. 1025/2012 2. panta 1. punktā.
12. pants
Reģistrēšana
Šā panta 1. punktā minētajās reģistrēšanas procedūrās, protokolos un rīkos iekļauj visus šos elementus:
ierakstāmo notikumu identifikācija, žurnālu glabāšanas periods un pasākumi žurnāla datu aizsardzībai un apstrādei, ņemot vērā mērķi, kādam ieraksti tiek izveidoti;
žurnālu detalizācijas pakāpes pielāgošana to mērķim un izmantojumam, lai varētu efektīvi atklāt anomālas darbības, kā minēts 24. pantā;
prasība reģistrēt notikumus, kas saistīti ar visu turpmāk minēto:
loģiskās un fiziskās piekļuves kontrole, kā minēts 21. pantā, un identitātes pārvaldība;
jaudas pārvaldība;
izmaiņu pārvaldība;
IKT darbības, tajā skaitā IKT sistēmu darbības;
tīklu datplūsmas darbības, tajā skaitā IKT tīklu veiktspēja;
pasākumi, lai aizsargātu reģistrēšanas sistēmas un žurnālu informāciju pret manipulācijām, dzēšanu un neatļautu piekļuvi, kad dati tiek glabāti, pārsūtīti vai attiecīgā gadījumā tiek lietoti;
pasākumi reģistrēšanas sistēmu atteiču atklāšanai;
neskarot nekādas piemērojamās normatīvās prasības saskaņā ar Savienības vai valsts tiesību aktiem – finanšu vienības katras IKT sistēmas pulksteņu sinhronizācija, pamatojoties uz dokumentētu, uzticamu atsauces laika avotu.
Šā punkta a) apakšpunkta nolūkos finanšu vienības nosaka glabāšanas periodu, ņemot vērā darbības un informācijas drošības mērķus, iemeslu, kādēļ notikums tiek reģistrēts žurnālos, un IKT riska novērtējuma rezultātus.
13. pants
Tīkla drošības pārvaldība
Finanšu vienības kā daļu no aizsardzības pasākumiem, kas nodrošina tīklu aizsardzību pret ielaušanos sistēmā un datu ļaunprātīgu izmantošanu, izstrādā, dokumentē un īsteno politiku, procedūras, protokolus un rīkus attiecībā uz tīkla drošības pārvaldību, kas ietver visu turpmāk minēto:
IKT sistēmu un tīklu nošķiršana un segmentācija, ņemot vērā:
šo IKT sistēmu un tīklu atbalstītās funkcijas kritiskumu vai svarīgumu;
klasifikāciju, kas noteikta saskaņā ar Regulas (ES) 2022/2554 8. panta 1. punktu;
IKT aktīvu, kas izmanto šīs IKT sistēmas un tīklus, vispārējo riska profilu;
visu finanšu vienības tīkla savienojumu un datu plūsmu dokumentācija;
atsevišķa un specializēta tīkla izmantošana IKT aktīvu pārvaldībai;
tīkla piekļuves kontroļu identifikācija un īstenošana, lai novērstu un atklātu jebkuras neatļautas ierīces vai sistēmas vai jebkura finanšu vienības drošības prasībām neatbilstoša gala punkta savienojumu ar finanšu vienības tīklu;
to tīkla savienojumu šifrēšana, kuri notiek pa uzņēmuma tīkliem, publiskajiem tīkliem, mājas tīkliem, trešo personu tīkliem un bezvadu tīkliem, attiecībā uz izmantotajiem komunikācijas protokoliem, ņemot vērā apstiprinātās datu klasifikācijas rezultātus, IKT riska novērtējuma rezultātus un 6. panta 2. punktā minēto tīkla savienojumu šifrēšanu;
tīklu izstrāde saskaņā ar finanšu vienības noteiktajām IKT drošības prasībām, ņemot vērā paraugpraksi, lai nodrošinātu tīkla konfidencialitāti, integritāti un pieejamību;
tīkla datplūsmas aizsardzība starp iekšējiem tīkliem un internetu un citiem ārējiem savienojumiem;
uzdevumu un atbildības, un veicamo pasākumu identifikācija, lai konkrēti noteiktu, īstenotu, apstiprinātu, mainītu un pārskatītu ugunsmūra noteikumus un savienojumu filtrus;
tīkla arhitektūras un tīkla drošības sistēmas pārskatīšana reizi gadā un – mikrouzņēmumiem – periodiski, lai apzinātu iespējamo ievainojamību;
pasākumi, lai vajadzības gadījumā īslaicīgi izolētu apakštīklus un tīkla komponentus un ierīces;
visu tīkla komponentu drošas bāzkonfigurācijas īstenošana un tīkla un tīkla ierīču stiprināšana atbilstīgi jebkuriem piegādātāju norādījumiem, attiecīgā gadījumā – piemērojamiem standartiem, kas noteikti Regulas (ES) Nr. 1025/2012 2. panta 1. punktā, un paraugpraksi;
procedūras, lai ierobežotu, nobloķētu un izbeigtu sistēmas sesijas un attālās sesijas pēc noteikta neaktivitātes perioda;
attiecībā uz tīkla pakalpojumu līgumiem:
IKT un informācijas drošības pasākumu, pakalpojumu līmeņu un visu tīkla pakalpojumu pārvaldības prasību identifikācija un specifikācija;
vai šos pakalpojumus sniedz IKT pakalpojumu sniedzējs grupas iekšienē vai trešās personas, kas sniedz IKT pakalpojumus.
Šā punkta h) apakšpunkta nolūkos finanšu vienības veic ugunsmūra noteikumu un savienojumu filtru regulāru pārskatīšanu saskaņā ar klasifikāciju, kas noteikta saskaņā ar Regulas (ES) 2022/2554 8. panta 1. punktu, un iesaistīto IKT sistēmu vispārējo riska profilu. Attiecībā uz IKT sistēmām, kas atbalsta kritiski svarīgas vai svarīgas funkcijas, finanšu vienības pārbauda esošo ugunsmūra noteikumu un savienojumu filtru atbilstību vismaz reizi sešos mēnešos.
14. pants
Pārsūtītās informācijas aizsardzība
Kā daļu no aizsardzības pasākumiem, ko veic, lai saglabātu datu pieejamību, autentiskumu, integritāti un konfidencialitāti, finanšu vienības izstrādā, dokumentē un īsteno politiku, procedūras, protokolus un rīkus pārsūtītās informācijas aizsardzībai. Finanšu vienības jo īpaši nodrošina visu turpmāk minēto:
datu pieejamība, autentiskums, integritāte un konfidencialitāte pārsūtīšanā pa tīkliem un procedūru noteikšana, lai novērtētu atbilstību šīm prasībām;
datu noplūžu novēršana un atklāšana un informācijas droša pārsūtīšana starp finanšu vienību un ārējām personām;
prasības attiecībā uz konfidencialitātes vai neizpaušanas pasākumiem, kas atspoguļo finanšu vienības vajadzības pēc informācijas aizsardzības gan finanšu vienības darbiniekiem, gan trešo personu darbiniekiem, tie īstenotas, dokumentētas un regulāri pārskatītas.
15. pants
IKT projektu pārvaldība
Šā panta 1. punktā minētā IKT projektu pārvaldības politika ietver visu turpmāk minēto:
IKT projekta mērķi;
IKT projekta pārvaldība, tajā skaitā uzdevumi un atbildība;
IKT projekta plānošana, grafiks un posmi;
IKT projekta riska novērtējums;
attiecīgie atskaites punkti;
izmaiņu pārvaldības prasības;
visu prasību (ieskaitot drošības prasības) testēšana un attiecīgais apstiprinājuma process, kad IKT sistēma tiek ieviesta ražošanas vidē.
Saskaņā ar 3. punkta d) apakšpunktā minēto IKT projektu riska novērtējumu 1. punktā minētā IKT projektu pārvaldības politika nodrošina, ka par to IKT projektu izveidi un norisi, kuri ietekmē finanšu vienības kritiski svarīgas vai svarīgas funkcijas, un par to saistītajiem riskiem tiek paziņots vadības struktūrai šādi:
atsevišķi vai par visiem kopā atkarībā no IKT projektu svarīguma un lieluma;
periodiski un, ja nepieciešams, balstoties uz katru notikumu.
16. pants
IKT sistēmu iegāde, izstrāde un uzturēšana
Kā daļu no aizsardzības pasākumiem, ko veic, lai saglabātu datu pieejamību, autentiskumu, integritāti un konfidencialitāti, finanšu vienības izstrādā, dokumentē un īsteno politiku, kas reglamentē IKT sistēmu iegādi, izstrādi un uzturēšanu. Minētā politika:
nosaka drošības praksi un metodiku saistībā ar IKT sistēmu iegādi, izstrādi un uzturēšanu;
prasa, lai tiktu identificētas:
tehniskās specifikācijas un IKT tehniskās specifikācijas, kas definētas Regulas (ES) Nr. 1025/2012 2. panta 4. un 5. punktā;
prasības saistībā ar IKT sistēmu iegādi, izstrādi un uzturēšanu, īpašu uzmanību pievēršot IKT drošības prasībām un to apstiprināšanai, ko veic attiecīgā darbības funkcija un IKT aktīvu īpašnieks saskaņā ar finanšu vienības iekšējo pārvaldības kārtību;
nosaka pasākumus, lai mazinātu IKT sistēmu nejaušas pārveides vai tīšu manipulāciju ar tām risku, kad šīs IKT sistēmas tiek izstrādātas, uzturētas un ieviestas ražošanas vidē.
Centrālie darījumu partneri papildus pirmajā daļā noteiktajām prasībām pirmajā daļā minētajā testēšanas plānošanā un veikšanā pēc vajadzības iesaista:
tīrvērtes dalībniekus un klientus;
sadarbspējīgus centrālos darījumu partnerus;
citas ieinteresētās personas.
Centrālie vērtspapīru depozitāriji papildus pirmajā daļā noteiktajām prasībām pirmajā daļā minētajā testēšanas plānošanā un veikšanā pēc vajadzības iesaista:
lietotājus;
kritiski svarīgus sabiedrisko pakalpojumu sniedzējus un kritiski svarīgus pakalpojumu sniedzējus;
citus centrālos vērtspapīru depozitārijus;
citas tirgus infrastruktūras;
jebkuras citas iestādes, ar kurām centrālajiem vērtspapīru depozitārijiem ir identificēta savstarpējā atkarība to uzņēmējdarbības nepārtrauktības politikā.
Šā panta 2. punktā minētā procedūra ietver pirmkodu pārskatīšanu, kas aptver gan statisko, gan dinamisko testēšanu. Minētā testēšana ietver internetā izmantotu sistēmu un lietojumprogrammu drošības testēšanu saskaņā ar 8. panta 2. punkta b) apakšpunkta v), vi) un vii) punktu. Finanšu vienības:
identificē un analizē pirmkoda ievainojamību un anomālijas;
pieņem rīcības plānu šīs ievainojamības un anomāliju risināšanai;
uzrauga minētā rīcības plāna īstenošanu.
Šā panta 2. punktā minētā procedūra nodrošina, ka:
neražošanas vide glabā tikai anonimizētus, pseidonimizētus vai randomizētus ražošanas datus;
finanšu vienībām ir jāaizsargā datu integritāte un konfidencialitāte neražošanas vidēs.
17. pants
IKT izmaiņu pārvaldība
Kā daļu no aizsardzības pasākumiem, ko veic, lai saglabātu datu pieejamību, autentiskumu, integritāti un konfidencialitāti, finanšu vienības IKT izmaiņu pārvaldības procedūrās, kas minētas Regulas (ES) 2022/2554 9. panta 4. punkta e) apakšpunktā, attiecībā uz visām programmatūras, aparatūras, aparātprogrammatūras komponentu, sistēmu vai drošības parametru izmaiņām iekļauj visus šos elementus:
pārbaude par to, vai ir izpildītas IKT drošības prasības;
mehānismi, lai nodrošinātu to funkciju neatkarību, kuras apstiprina izmaiņas, un to funkciju neatkarību, kuras atbild par minēto izmaiņu pieprasīšanu un īstenošanu;
uzdevumu un atbildības skaidrs apraksts, lai nodrošinātu, ka:
izmaiņas tiek konkrēti noteiktas un plānotas;
ir plānota atbilstoša pāreja;
izmaiņas tiek testētas un pabeigtas kontrolētā vidē;
pastāv efektīva kvalitātes nodrošināšana;
izmaiņu datu dokumentēšana un paziņošana, tajā skaitā:
izmaiņu mērķis un tvērums;
termiņš izmaiņu īstenošanai;
paredzamie rezultāti;
darbības nepārtrauktības procedūru un atbildības identifikācija, tajā skaitā procedūras un atbildība par izmaiņu atcelšanu vai atgūšanos pēc izmaiņām, kas īstenotas neveiksmīgi;
procedūras, protokoli un rīki ārkārtas izmaiņu pārvaldībai, kas nodrošina pienācīgu aizsardzību;
procedūras, lai dokumentētu, atkārtoti izvērtētu, novērtētu un apstiprinātu ārkārtas izmaiņas pēc to īstenošanas, ieskaitot aprisinājumus un ielāpus;
izmaiņu potenciālās ietekmes uz esošajiem IKT drošības pasākumiem identifikācija un novērtējums par to, vai šādu izmaiņu dēļ ir jāpieņem papildu IKT drošības pasākumi.
Centrālie darījumu partneri pirmajā daļā minētajā testēšanas plānošanā un veikšanā pēc vajadzības iesaista:
tīrvērtes dalībniekus un klientus;
sadarbspējīgus centrālos darījumu partnerus;
citas ieinteresētās personas.
Centrālie vērtspapīru depozitāriji pirmajā daļā minētajā testēšanas plānošanā un veikšanā pēc vajadzības iesaista:
lietotājus;
kritiski svarīgus sabiedrisko pakalpojumu sniedzējus un kritiski svarīgus pakalpojumu sniedzējus;
citus centrālos vērtspapīru depozitārijus;
citas tirgus infrastruktūras;
jebkuras citas iestādes, ar kurām centrālajiem vērtspapīru depozitārijiem ir identificēta savstarpējā atkarība to IKT darbības nepārtrauktības politikā.
18. pants
Fiziskā un vides drošība
Šā panta 1. punktā minētā fiziskās un vides drošības politika ietver visu turpmāk minēto:
atsauce uz politikas iedaļu par piekļuves pārvaldības tiesību kontroli, kas minēta 21. panta pirmās daļas g) punktā;
pasākumi, lai pret uzbrukumiem, negadījumiem un vides draudiem un apdraudējumiem aizsargātu finanšu vienības telpas, datu centrus un vietas, ko finanšu vienība noteikusi par sensitīvām un kur atrodas IKT aktīvi un informācijas aktīvi;
pasākumi, lai aizsargātu IKT aktīvus gan finanšu vienības telpās, gan ārpus tām, ņemot vērā IKT riska novērtējuma rezultātus saistībā ar attiecīgajiem IKT aktīviem;
pasākumi, lai nodrošinātu finanšu vienības IKT aktīvu, informācijas aktīvu un fiziskās piekļuves kontroles ierīču pieejamību, autentiskumu, integritāti un konfidencialitāti, veicot atbilstošu uzturēšanu;
pasākumi, lai saglabātu datu pieejamību, autentiskumu, integritāti un konfidencialitāti, tajā skaitā:
“tīra galda” politika attiecībā uz dokumentiem;
“tīra ekrāna” politika attiecībā uz informācijas apstrādes ierīcēm.
Šā punkta b) apakšpunkta nolūkos pasākumi aizsardzībai pret vides draudiem un apdraudējumiem ir samērīgi ar telpu, datu centru, par sensitīvām noteikto vietu svarīgumu un tajās notiekošo darbību vai esošo IKT sistēmu kritiskumu.
Šā punkta c) apakšpunkta nolūkos 1. punktā minētā fiziskās un vides drošības politika ietver pasākumus, lai pienācīgi aizsargātu bez uzraudzības esošus IKT aktīvus.
II NODAĻA
Cilvēkresursu politika un piekļuves kontrole
19. pants
Cilvēkresursu politika
Finanšu vienības savā cilvēkresursu politikā vai citā attiecīgā politikā ietver visus šādus ar IKT drošību saistītus elementus:
jebkādas īpašas atbildības par IKT drošību identifikācija un uzticēšana;
prasības finanšu vienības un trešo personu, kas sniedz IKT pakalpojumus, darbiniekiem, kuri izmanto finanšu vienības IKT aktīvus vai tiem piekļūst:
iepazīties ar finanšu vienības IKT drošības politiku, procedūrām un protokoliem un tos ievērot;
zināt par ziņošanas kanāliem, ko finanšu vienība izveidojusi, lai atklātu anomālu uzvedību, tajā skaitā attiecīgā gadījumā par ziņošanas kanāliem, kas izveidoti atbilstīgi Eiropas Parlamenta un Padomes Direktīvai (ES) 2019/1937 ( 1 );
izbeidzot darba attiecības, nodot finanšu vienībai visus to rīcībā esošos IKT aktīvus un materiālos informācijas aktīvus, kas pieder finanšu vienībai.
20. pants
Identitātes pārvaldība
Šā panta 1. punktā minētajā identitātes pārvaldības politikā un procedūrās iekļauj visus šos elementus:
neskarot 21. panta pirmās daļas c) punktu, katram finanšu vienības darbiniekam vai trešo personu, kas sniedz IKT pakalpojumus, darbiniekam, kurš piekļūst finanšu vienības informācijas aktīviem un IKT aktīviem, piešķir unikālu identitāti, kas atbilst unikālam lietotāja kontam;
identitāšu un kontu aprites cikla pārvaldības process, kas pārvalda visu kontu izveidi, izmaiņas tajos, to pārskatīšanu un atjaunināšanu, pagaidu dezaktivizāciju un slēgšanu.
Šā punkta a) apakšpunkta nolūkos finanšu vienības veic visu piešķirto identitāšu uzskaiti. Minēto uzskaiti glabā pēc finanšu vienības reorganizācijas vai pēc līgumattiecību izbeigšanas, neskarot piemērojamos Savienības un valsts tiesību aktos noteiktās glabāšanas prasības.
Šā punkta b) apakšpunkta nolūkos, ja tas ir iespējams un atbilstoši, finanšu vienības ievieš automatizētus risinājumus aprites cikla identitātes pārvaldības procesam.
21. pants
Piekļuves kontrole
Kā daļu no savas piekļuves pārvaldības tiesību kontroles finanšu vienības izstrādā, dokumentē un īsteno politiku, kas ietver visus no šiem elementiem:
IKT piekļuves tiesību piešķiršana, pamatojoties uz principiem “vajadzība zināt”, “vajadzība izmantot” un mazāko tiesību principu, arī attiecībā uz attālu piekļuvi un piekļuvi ārkārtas gadījumā;
uzdevumu nošķiršana, lai novērstu nepamatotu piekļuvi kritiski svarīgiem datiem vai novērstu tādu piekļuves tiesību kombināciju piešķiršanu, ko var izmantot kontroļu apiešanai;
noteikums par lietotāja pārskatatbildību, ciktāl iespējams, ierobežojot vispārējo un dalīto lietotāja kontu izmantošanu un nodrošinot, ka lietotāji vienmēr ir identificējami attiecībā uz darbībām, kas veiktas IKT sistēmās;
noteikums par ierobežojumiem piekļuvei IKT aktīviem, izklāstot kontroles un rīkus neatļautas piekļuves novēršanai;
kontu pārvaldības procedūras, lai piešķirtu, mainītu vai atsauktu piekļuves tiesības lietotāju un vispārējiem kontiem, tajā skaitā vispārējiem administratoru kontiem, ietverot noteikumu par visu turpmāk minēto:
uzdevumu un atbildības piešķiršana par piekļuves tiesību piešķiršanu, pārskatīšanu un atsaukšanu;
privileģētas, ārkārtas un administratora piekļuves piešķiršana, pamatojoties uz vajadzību zināt vai uz ad hoc pamata, attiecībā uz visām IKT sistēmām;
piekļuves tiesību tūlītēja atsaukšana darba attiecību izbeigšanas gadījumā vai ja piekļuve vairs nav nepieciešama;
piekļuves tiesību atjaunināšana, kad ir nepieciešamas izmaiņas un vismaz gadā attiecībā uz visām IKT sistēmām, izņemot IKT sistēmas, kas atbalsta kritiskas vai svarīgas funkcijas, un vismaz reizi sešos mēnešos attiecībā uz IKT sistēmām, kas atbalsta kritiskas vai svarīgas funkcijas;
autentifikācijas metodes, ietverot visus šos elementus:
autentifikācijas metožu izmantošana, kas ir samērīga ar klasifikāciju, kura noteikta saskaņā ar Regulas (ES) 2022/2554 8. panta 1. punktu, un ar IKT aktīvu vispārējo riska profilu, arī ņemot vērā paraugpraksi;
spēcīgu autentifikācijas metožu izmantošana saskaņā ar paraugpraksi un metodēm attiecībā uz attālu piekļuvi finanšu vienības tīklam, privileģētu piekļuvi, piekļuvi IKT aktīviem, kas atbalsta kritiskas vai svarīgas funkcijas, vai IKT aktīviem, kas ir publiski pieejami;
fiziskās piekļuves kontroles pasākumi, tajā skaitā:
to fizisko personu identifikācija un reģistrēšana žurnālā, kurām ir atļauts piekļūt telpām, datu centriem un finanšu vienības par sensitīvām noteiktām vietām, kur atrodas IKT un informācijas aktīvi;
fiziskās piekļuves kritiskiem IKT aktīviem piešķiršana tikai pilnvarotām personām saskaņā ar principu “vajadzība zināt” un mazāko tiesību principu un uz ad hoc pamata;
uzraudzība attiecībā uz fizisko piekļuvi telpām, datu centriem un finanšu vienības par sensitīvām noteiktām vietām, kur atrodas IKT un informācijas aktīvi, vai abi;
fiziskās piekļuves tiesību pārskatīšana, lai nodrošinātu, ka nevajadzīgas piekļuves tiesības tiek steidzīgi atsauktas.
Šā punkta e) apakšpunkta i) punkta nolūkos finanšu vienības nosaka glabāšanas periodu, ņemot vērā darbības un informācijas drošības mērķus, iemeslus, kādēļ notikums tiek reģistrēts žurnālos, un IKT riska novērtējuma rezultātus.
Šā punkta e) apakšpunkta ii) punkta nolūkos finanšu vienības, ja iespējams, izmanto speciālus kontus administratīvu uzdevumu veikšanai IKT sistēmās. Ja tas ir iespējams un atbilstoši, finanšu vienības ievieš automatizētus risinājumus privileģētas piekļuves pārvaldībai.
Šā punkta g) apakšpunkta i) punkta nolūkos identifikācija un reģistrēšana žurnālos ir samērīga ar telpu, datu centru, par sensitīvām noteikto vietu svarīgumu un tajās notiekošo darbību vai esošo IKT sistēmu kritiskumu.
Šā punkta g) apakšpunkta iii) punkta nolūkos uzraudzība ir samērīga ar klasifikāciju, kas noteikta saskaņā ar Regulas (ES) 2022/2554 8. panta 1. punktu, un vietas, kurai piekļūst, kritiskumu.
III NODAĻA
Ar IKT saistītu incidentu atklāšana un reaģēšana uz tiem
22. pants
Ar IKT saistītu incidentu pārvaldības politika
Kā daļu no mehānismiem, kurus izmanto anomālu darbību atklāšanai, ieskaitot IKT tīklu veiktspējas problēmas un ar IKT saistītus incidentus, finanšu vienības izstrādā, dokumentē un īsteno ar IKT saistītu incidentu politiku, ar kuras starpniecību tās:
dokumentē ar IKT saistītu incidentu pārvaldības procesu, kas minēts Regulas (ES) 2022/2554 17. pantā;
izveido sarakstu, kurā iekļautas attiecīgās kontaktpersonas ar iekšējām funkcijām un ārējās ieinteresētās personas, kas tieši iesaistītas IKT darbības drošībā, arī attiecībā uz:
kiberdraudu atklāšanu un uzraudzību;
anomālu darbību atklāšanu;
ievainojamības pārvaldību;
nosaka, īsteno un izmanto tehniskos, organizatoriskos un darbības mehānismus, lai atbalstītu ar IKT saistītu incidentu pārvaldības procesu, tajā skaitā mehānismus, kas ļauj ātri atklāt anomālas darbības un uzvedību saskaņā ar šīs regulas 23. pantu;
glabā visus pierādījumus par incidentiem, kas saistīti ar IKT, ne ilgāk kā nepieciešams nolūkiem, kuriem dati savākti, samērīgi ar ietekmēto darbības funkciju, atbalsta procesu un IKT un informācijas aktīvu kritiskumu un saskaņā ar Komisijas Deleģētās regulas (ES) 2024/1772 ( 2 ) 8. panta 2. punktu un ar jebkuru piemērojamo datu glabāšanas prasību atbilstīgi Savienības tiesību aktiem;
nosaka un īsteno mehānismus, lai analizētu būtiskus vai atkārtotus ar IKT saistītus incidentus un tendences ar IKT saistītu incidentu skaita un atkārtošanās ziņā.
Šā panta d) punkta nolūkos finanšu vienības minētajā punktā norādītos pierādījumus glabā drošā veidā.
23. pants
Anomālu darbību atklāšana un kritēriji ar IKT saistītu incidentu atklāšanai un reaģēšanai uz tiem
Mehānisms, ko izmanto, lai ātri atklātu anomālas darbības, tajā skaitā IKT tīklu veiktspējas problēmas un ar IKT saistītus incidentus, un kas minēts Regulas (ES) 2022/2554 10. panta 1. punktā, ļauj finanšu vienībām:
apkopot, uzraudzīt un analizēt:
iekšējus un ārējus faktorus, tajā skaitā vismaz žurnālu ierakstus, kas savākti saskaņā ar šīs regulas 12. pantu, informāciju no darbības un IKT funkcijām, un visas problēmas, par kurām ziņo finanšu vienības lietotāji;
iespējamos iekšējos un ārējos kiberdraudus, ņemot vērā scenārijus, ko visbiežāk izmanto draudu īstenotāji, un scenārijus, kas balstīti uz draudu izlūkošanas darbību;
ar IKT saistītu incidentu paziņojumus, ko sniedz trešā persona, kura finanšu vienībai sniedz IKT pakalpojumus, par incidentiem, kas atklāti IKT sistēmās un tīklos un kas var ietekmēt finanšu vienību;
identificēt anomālas darbības un uzvedību un ieviest rīkus, kas ģenerē brīdinājumus par anomālām darbībām un uzvedību, vismaz attiecībā uz tiem IKT aktīviem un informācijas aktīviem, kas atbalsta kritiski svarīgas vai svarīgas funkcijas;
noteikt b) apakšpunktā minēto brīdinājumu prioritātes, lai varētu pārvaldīt atklātos ar IKT saistītos incidentus paredzamajā problēmas atrisināšanas laikā, ko noteikušas finanšu vienības, gan darba laikā, gan ārpus darba laika;
automātiski vai manuāli reģistrēt, analizēt un izvērtēt visu būtisko informāciju par visām anomālajām darbībām un uzvedību.
Šā punkta b) apakšpunkta nolūkos minētajā punktā norādītie rīki ietver rīkus, kas sniedz automatizētus brīdinājumus, balstoties uz iepriekš definētiem noteikumiem, lai identificētu anomālijas, kas ietekmē datu avotu vai žurnālu apkopojuma pilnīgumu un integritāti.
Finanšu vienības reģistrē visu būtisko informāciju par katru atklāto anomālo darbību tā, lai būtu iespējams:
identificēt anomālās darbības veikšanas datumu un laiku;
identificēt anomālās darbības atklāšanas datumu un laiku;
identificēt anomālās darbības veidu.
Lai aktivizētu ar IKT saistītu incidentu atklāšanas un reaģēšanas procesus, kas minēti Regulas (ES) 2022/2554 10. panta 2. punktā, finanšu vienības ņem vērā visus šos kritērijus:
norādes, ka ļaunprātīgā darbība var būt veikta IKT sistēmā vai tīklā vai ka šāda IKT sistēma vai tīkls var būt apdraudēti;
datu zudumi, kas atklāti saistībā ar datu pieejamību, autentiskumu, integritāti un konfidencialitāti;
atklātā nelabvēlīgā ietekme uz finanšu vienības darījumiem un darbībām;
IKT sistēmu un tīklu nepieejamība.
IKT darbības nepārtrauktības pārvaldība
24. pants
IKT darbības nepārtrauktības politikas elementi
Finanšu vienības savā IKT darbības nepārtrauktības politikā, kas minēta Regulas (ES) 2022/2554 11. panta 1. punktā, ietver visus no šiem elementiem:
apraksts par:
IKT darbības nepārtrauktības politikas mērķiem, tajā skaitā savstarpējo saistību starp IKT darbības nepārtrauktību un vispārējo darbības nepārtrauktību, arī ņemot vērā Regulas (ES) 2022/2554 11. panta 5. punktā minētās uzņēmējdarbības ietekmes analīzes (UIA) rezultātus;
IKT darbības nepārtrauktības kārtības, plānu, procedūru un mehānismu tvērumu, ietverot ierobežojumus un izņēmumus;
laikposmu, kas jāaptver ar IKT darbības nepārtrauktības kārtību, plāniem, procedūrām un mehānismiem;
kritērijiem IKT darbības nepārtrauktības plānu, IKT reaģēšanas un seku novēršanas plānu un krīzes paziņošanas plānu aktivizēšanai un dezaktivizēšanai;
noteikumi par:
pārvaldību un organizāciju IKT darbības nepārtrauktības politikas īstenošanai, tajā skaitā uzdevumiem, atbildību un eskalācijas procedūrām, kas nodrošina, ka ir pieejami pietiekami resursi;
IKT darbības nepārtrauktības plānu un vispārējo darbības nepārtrauktības plānu saskaņošanu, ietverot vismaz visus no šiem elementiem:
iespējamie atteiču scenāriji, tajā skaitā scenāriji, kas minēti šīs regulas 26. panta 2. punktā;
atgūšanas mērķi, norādot, ka finanšu vienība spēj atjaunot tās kritisko vai svarīgo funkciju darbības pēc traucējumiem atbilstīgi atgūšanas laika mērķim un atgūšanas punkta mērķim;
IKT darbības nepārtrauktības plānu izstrādi nopietniem uzņēmējdarbības traucējumiem kā daļu no šiem plāniem un IKT darbības nepārtrauktības pasākumu prioritāšu noteikšanu, izmantojot uz risku balstītu pieeju;
IKT reaģēšanas un seku novēršanas plānu izstrādi, testēšanu un pārskatīšanu saskaņā ar šīs regulas 25. un 26. pantu;
īstenotās IKT darbības nepārtrauktības kārtības, plānu, procedūru un mehānismu efektivitātes pārskatīšanu saskaņā ar šīs regulas 26. pantu;
IKT darbības nepārtrauktības politikas saskaņošanu ar:
saziņas politiku, kas minēta Regulas (ES) 2022/2554 14. panta 2. punktā;
saziņas un krīzes pārvarēšanas pasākumiem, kas minēti Regulas (ES) 2022/2554 11. panta 2. punkta e) apakšpunktā.
Papildus 1. punktā minētajām prasībām centrālie darījumu partneri nodrošina, ka to IKT darbības nepārtrauktības politika:
paredz to kritiski svarīgo funkciju atgūšanas maksimālo laiku, kas nepārsniedz divas stundas;
ņem vērā ārējās saites un savstarpējo atkarību finanšu infrastruktūrās, tajā skaitā centrālā darījumu partnera apstiprinātās tirdzniecības vietas, vērtspapīru norēķinu un maksājumu sistēmas un kredītiestādes, ko izmanto centrālais darījumu partneris vai saistīts centrālais darījumu partneris;
paredz, ka ir jābūt ieviestai kārtībai, lai:
nodrošinātu centrālā darījumu partnera kritisko vai svarīgo funkciju nepārtrauktību, pamatojoties uz negadījumu scenārijiem;
uzturētu rezerves apstrādes vietu, kas spēj nodrošināt centrālā darījumu partnera kritisko vai svarīgo funkciju nepārtrauktību identiski galvenajai vietai;
uzturētu rezerves uzņēmējdarbības vietu vai nodrošinātu tūlītēju piekļuvi tai, lai personāls varētu nodrošināt pakalpojuma nepārtrauktību, ja primārā uzņēmējdarbības vieta nav pieejama;
ņemtu vērā vajadzību pēc papildu datu apstrādes vietām, jo īpaši tad, ja galvenās un rezerves vietas riska profilu dažādība nenodrošina pietiekamu pārliecību, ka centrālā darījumu partnera darbības nepārtrauktības mērķi tiks sasniegti jebkura scenārija gadījumā.
Šā punkta a) apakšpunkta nolūkos centrālie darījumu partneri visos apstākļos izpilda dienas noslēguma procedūras un maksājumus vajadzīgajā laikā un dienā.
Šā punkta c) apakšpunkta i) nolūkos minētajā punktā norādītajā kārtībā ņem vērā pietiekamu cilvēkresursu pieejamību, kritiski svarīgo funkciju maksimālo dīkstāves laiku un kļūmjpārlēci un darbības pārjaunošanu uz rezerves vietu.
Šā punkta c) apakšpunkta ii) punkta nolūkos minētajā punktā norādītajai rezerves apstrādes vietai ir ģeogrāfiskais riska profils, kas atšķiras no galvenās vietas profila.
Papildus 1. punktā minētajām prasībām centrālie vērtspapīru depozitāriji nodrošina, ka to IKT darbības nepārtrauktības politika:
ņem vērā visas saiknes ar lietotājiem, kritiski svarīgiem sabiedrisko pakalpojumu sniedzējiem un kritiski svarīgiem pakalpojumu sniedzējiem, citiem centrālajiem vērtspapīru depozitārijiem un citām tirgus infrastruktūrām un savstarpējo atkarību no tiem;
paredz, ka IKT darbības nepārtrauktības kārtībai ir jānodrošina, ka atgūšanas laika mērķis to kritiski svarīgajām vai svarīgajām funkcijām nav ilgāks par divām stundām.
Papildus 1. punktā minētajām prasībām tirdzniecības vietas nodrošina, ka to IKT darbības nepārtrauktības politika nodrošina, ka:
tirdzniecību var atjaunot divu stundu vai īsākā laikā pēc traucējumu incidenta;
maksimālais datu apjoms, kas var tikt zaudēts no jebkura tirdzniecības vietas IT pakalpojuma pēc traucējumu incidenta, ir tuvu nullei.
25. pants
IKT darbības nepārtrauktības plānu testēšana
Finanšu vienības, testējot savus IKT darbības nepārtrauktības plānus, kas minēti 1. punktā, novērtē, vai plāni spēj nodrošināt finanšu vienības kritiski svarīgo vai svarīgo funkciju nepārtrauktību. Testēšana:
tiek veikta, pamatojoties uz testa scenārijiem, kuros simulē potenciālus traucējumus, ietverot smagu, bet ticamu scenāriju pienācīgu kopumu;
attiecīgā gadījumā ietver trešo personu sniegto IKT pakalpojumu testēšanu;
attiecībā uz finanšu vienībām, kas nav mikrouzņēmumi, kā minēts Regulas (ES) 2022/2554 11. panta 6. punkta otrajā daļā, ietver scenārijus, kuros notiek pārslēgšanās no galvenās IKT infrastruktūras uz rezerves jaudu, rezerves kopijām un rezerves mehānismiem;
tiek plānota tā, lai atspēkotu pieņēmumus, uz kuriem balstīti uzņēmējdarbības nepārtrauktības plāni, tajā skaitā pārvaldības kārtība un krīzes saziņas plāni;
ietver procedūras, lai pārbaudītu finanšu vienību darbinieku, trešo personu, kas sniedz IKT pakalpojumus, IKT sistēmu un IKT pakalpojumu spēju pienācīgi reaģēt uz scenārijiem, kas pienācīgi ņemti vērā saskaņā ar 26. panta 2. punktu.
Šā punkta a) apakšpunkta nolūkos finanšu vienības testēšanā vienmēr iekļauj scenārijus, kas apsvērti uzņēmējdarbības nepārtrauktības plānu izstrādei.
Šā punkta b) apakšpunkta nolūkos finanšu vienības attiecīgā gadījumā pienācīgi ņem vērā scenārijus, kas saistīti ar trešo personu, kuras sniedz IKT pakalpojumus, maksātnespēju vai neveiksmēm vai ar politiskiem riskiem trešo personu, kas sniedz IKT pakalpojumus, jurisdikcijās.
Šā punkta c) apakšpunkta nolūkos testēšanā pārbauda, vai vismaz kritiski svarīgās vai svarīgās funkcijas var darboties pietiekamu laiku un vai var atjaunot normālu darbību.
Papildus 2. punktā minētajām prasībām centrālie darījumu partneri savu 1. punktā minēto IKT darbības nepārtrauktības plānu testēšanā iesaista:
tīrvērtes dalībniekus;
ārējus pakalpojumu sniedzējus;
attiecīgās iestādes finanšu infrastruktūrā, ar kurām centrālajiem darījumu partneriem ir identificēta savstarpēja atkarība to uzņēmējdarbības nepārtrauktības politikā.
Papildus 2. punktā minētajām prasībām centrālie vērtspapīru depozitāriji savu 1. punktā minēto IKT darbības nepārtrauktības plānu testēšanā attiecīgā gadījumā iesaista:
centrālo vērtspapīru depozitāriju lietotājus;
kritiski svarīgus sabiedrisko pakalpojumu sniedzējus un kritiski svarīgus pakalpojumu sniedzējus;
citus centrālos vērtspapīru depozitārijus;
citas tirgus infrastruktūras;
jebkuras citas iestādes, ar kurām centrālajiem vērtspapīru depozitārijiem ir identificēta savstarpējā atkarība to uzņēmējdarbības nepārtrauktības politikā.
26. pants
IKT reaģēšanas un seku novēršanas plāni
Izstrādājot IKT reaģēšanas un seku novēršanas plānus, kas minēti Regulas (ES) 2022/2554 11. panta 3. punktā, finanšu vienības ņem vērā finanšu vienības uzņēmējdarbības ietekmes analīzes (UIA) rezultātus. Minētie IKT reaģēšanas un seku novēršanas plāni:
paredz nosacījumus to aktivizēšanai vai dezaktivizēšanai un visus izņēmumus attiecībā uz šādu aktivizēšanu vai dezaktivizēšanu;
apraksta, kādas darbības ir veicamas, lai nodrošinātu vismaz to IKT sistēmu un pakalpojumu pieejamību, integritāti, nepārtrauktību un atgūšanu, kas atbalsta finanšu vienības kritiski svarīgas vai svarīgas funkcijas;
tiek izstrādāti tā, lai sasniegtu finanšu vienības darbību atjaunošanas plānus;
tiek dokumentēti un darīti pieejami darbiniekiem, kuri iesaistīti IKT reaģēšanas un seku novēršanas plānu izpildē, un ir ātri pieejami ārkārtas gadījumā;
paredz gan īstermiņa, gan ilgtermiņa atgūšanas iespējas, tajā skaitā sistēmu daļēju atgūšanu;
nosaka IKT reaģēšanas un seku novēršanas plānu mērķus un nosacījumus šo plānu atzīšanai par veiksmīgi izpildītiem.
Šā punkta d) apakšpunkta nolūkos finanšu vienības skaidri nosaka uzdevumus un atbildību.
Šā panta 1. punktā minētajos IKT reaģēšanas un seku novēršanas plānos identificē attiecīgos scenārijus, tajā skaitā nopietnu uzņēmējdarbības traucējumu un palielinātas traucējumu varbūtības scenārijus. Minētajos plānos scenārijus izstrādā, pamatojoties uz aktuālo informāciju par draudiem un uz gūtajām atziņām no iepriekšējiem darbības pārtraukumiem. Finanšu vienības pienācīgi ņem vērā visus šos scenārijus:
kiberuzbrukumi un pārslēgšanās starp primāro IKT infrastruktūru un rezerves jaudu, rezerves kopijām un rezerves mehānismiem;
scenāriji, kuros kritiski svarīgas vai svarīgas funkcijas nodrošināšanas kvalitāte pasliktinās līdz nepieņemamam līmenim vai neizdodas, tajos arī pienācīgi ņemot vērā jebkuras attiecīgās trešās personas, kas sniedz IKT pakalpojumus, maksātnespējas vai citu atteiču iespējamo ietekmi;
telpu, tajā skaitā biroja un uzņēmējdarbības telpu, un datu centru daļēja vai pilnīga darbības atteice;
IKT aktīvu vai komunikācijas infrastruktūras būtiska atteice;
kritiska darbinieku skaita vai par darbību nepārtrauktības garantēšanu atbildīgo darbinieku nepieejamība;
klimata pārmaiņu un ar vides degradāciju saistītu notikumu, dabas katastrofu, pandēmiju un fizisku uzbrukumu, tajā skaitā ielaušanās sistēmās un teroristu uzbrukumu, ietekme;
uzbrukumi no iekšienes;
politiskā un sociālā nestabilitāte, attiecīgā gadījumā arī trešās personas, kas sniedz IKT pakalpojumus, jurisdikcijā un vietā, kur notiek datu glabāšana un apstrāde;
plaši elektroenerģijas atvienojumi.
V NODAĻA
Ziņojums par IKT riska pārvaldības sistēmas pārskatīšanu
27. pants
Ziņojuma par IKT riska pārvaldības sistēmas pārskatīšanu formāts un saturs
Finanšu vienības 1. punktā minētajā ziņojumā iekļauj visu šo informāciju:
ievada iedaļa, kurā:
skaidri norāda finanšu vienību, uz kuru attiecas ziņojums, un attiecīgā gadījumā apraksta tās grupas struktūru;
apraksta ziņojuma kontekstu – finanšu vienības pakalpojumu, pasākumu un darbību veidu, mērogu un sarežģītību, tās organizāciju, identificētas kritiskās funkcijas, stratēģiju, būtiskus notiekošus projektus vai darbības, attiecības un tās atkarību no vietējiem vai nolīgtiem IKT pakalpojumiem un sistēmām vai ietekmi, kāda šādu sistēmu pilnīgai zaudēšanai vai būtiskam darbības pasliktinājumam būtu uz kritiskajām vai svarīgajām funkcijām un tirgus efektivitāti;
sniedz kopsavilkumu par nozīmīgām IKT riska pārvaldības sistēmas izmaiņām kopš iepriekšējā iesniegtā ziņojuma;
ietver izpildvaras līmeņa kopsavilkumu par pašreizējo un īstermiņa IKT profilu, draudu vidi, novērtēto tās kontroļu efektivitāti un finanšu vienības drošības stāvokli;
datums, kurā finanšu vienības vadības struktūra apstiprinājusi ziņojumu;
apraksts par iemeslu IKT riska pārvaldības sistēmas pārskatīšanai saskaņā ar Regulas (ES) 2022/2554 6. panta 5. punktu;
pārskata perioda sākuma un beigu datums;
norāde uz funkciju, kas atbild par pārskatīšanu;
apraksts par nozīmīgām IKT riska pārvaldības sistēmas izmaiņām un uzlabojumiem kopš iepriekšējās pārskatīšanas;
pārskatīšanas konstatējumu kopsavilkums un sīka analīze un novērtējums par vājo vietu, trūkumu un nepilnību smagumu IKT riska pārvaldības sistēmā pārskata periodā;
apraksts par pasākumiem, kas veikti, lai novērstu apzinātās vājās vietas, trūkumus un nepilnības, tajā skaitā:
kopsavilkums par pasākumiem, kas veikti, lai izlabotu apzinātās vājās vietas, trūkumus un nepilnības;
paredzamais pasākumu īstenošanas datums un datumi saistībā ar īstenošanas iekšējo kontroli, tajā skaitā informācija par minēto pasākumu īstenošanas norisi ziņojuma sagatavošanas dienā, attiecīgā gadījumā paskaidrojot, vai pastāv risks, ka termiņi var netikt ievēroti;
izmantojamie rīki un par pasākumu īstenošanu atbildīgās funkcijas identifikācija, sīki aprakstot, vai šie rīki un funkcijas ir iekšēji vai ārēji;
apraksts par pasākumos paredzēto izmaiņu ietekmi uz finanšu vienības budžeta resursiem, cilvēkresursiem un materiālu resursiem, ieskaitot resursus, kas atvēlēti jebkādu korektīvu pasākumu īstenošanai;
informācija par kompetentās iestādes informēšanu (attiecīgā gadījumā);
ja attiecībā uz apzinātajām vājajām vietām, trūkumiem vai nepilnībām nav veikti korektīvi pasākumi – sīks to kritēriju skaidrojums, kas izmantoti, lai analizētu minēto vājo vietu, trūkumu vai nepilnību ietekmi nolūkā izvērtēt atlikušo IKT risku, un sīks to kritēriju skaidrojums, kas izmantoti, lai akceptētu saistīto atlikušo risku;
informācija par plānoto IKT riska pārvaldības sistēmas turpmāko attīstību;
secinājumi, kas izriet no IKT riska pārvaldības sistēmas pārskatīšanas;
informācija par līdzšinēju pārskatīšanu, tajā skaitā:
līdzšinējas pārskatīšanas datumi;
attiecīgā gadījumā – pēdējā ziņojumā noteikto korektīvo pasākumu īstenošanas stāvoklis;
ja līdzšinējā pārskatīšanā ieteiktie korektīvie pasākumi ir izrādījušies neefektīvi vai ir radījuši neparedzamas problēmas – apraksts par to, kā šos korektīvos pasākumus varētu uzlabot, vai minēto neparedzēto problēmu apraksts;
ziņojuma sagatavošanā izmantotie informācijas avoti, ietverot visu turpmāk minēto:
attiecībā uz finanšu vienībām, kas nav mikrouzņēmumi, kā minēts Regulas (ES) 2022/2554 6. panta 6. punktā, – iekšējo revīziju rezultāti;
atbilstības novērtējumu rezultāti;
digitālās darbības noturības testēšanas rezultāti un – attiecīgā gadījumā – rezultāti, kas gūti IKT rīku, sistēmu un procesu padziļinātā testēšanā, kura veikta, pamatojoties uz draudu vadītu ielaušanās testēšanu (DVIT);
ārējie avoti.
Šā punkta c) apakšpunkta nolūkos, ja pārskatīšana bija uzsākta, ievērojot uzraudzības norādījumus vai secinājumus, kas izriet no attiecīgajiem digitālās darbības noturības testēšanas vai revīzijas procesiem, ziņojumā iekļauj skaidras atsauces uz šādiem norādījumiem vai secinājumiem, lai varētu noteikt pārskatīšanas uzsākšanas iemeslu. Ja pārskatīšana uzsākta pēc tam, kad notikuši ar IKT saistīti incidenti, ziņojumā iekļauj visu ar IKT saistīto incidentu sarakstu kopā ar incidenta cēloņa analīzi.
Šā punkta f) apakšpunkta nolūkos aprakstā ietver analīzi par izmaiņu ietekmi uz finanšu vienības digitālās darbības noturības stratēģiju, uz finanšu vienības IKT iekšējo kontroles sistēmu un uz finanšu vienības IKT riska pārvaldības vadību.
III SADAĻA
VIENKĀRŠOTA IKT RISKA PĀRVALDĪBAS SISTĒMA FINANŠU VIENĪBĀM, KAS MINĒTAS REGULAS (ES) 2022/2554 16. PANTA 1. PUNKTĀ
I NODAĻA
Vienkāršota IKT riska pārvaldības sistēma
28. pants
Pārvaldība un organizācija
Šā panta 1. punktā minētās finanšu vienības savas vienkāršotās IKT riska pārvaldības sistēmas ietvaros nodrošina, ka to vadības struktūra:
uzņemas vispārējo atbildību par to, lai nodrošinātu, ka vienkāršotā IKT riska pārvaldības sistēma ļauj sasniegt finanšu vienības uzņēmējdarbības stratēģiju saskaņā ar attiecīgās finanšu vienības vēlmi uzņemties risku, un nodrošina, ka šajā kontekstā tiek ņemts vērā IKT risks;
nosaka visu ar IKT saistīto pienākumu uzdevumus un atbildību;
nosaka informācijas drošības mērķus un IKT prasības;
apstiprina, pārrauga un periodiski pārskata:
finanšu vienības informācijas aktīvu klasifikāciju, kā noteikts šīs regulas 30. panta 1. punktā, galveno identificēto risku sarakstu un uzņēmējdarbības ietekmes analīzi un saistīto politiku;
finanšu vienības darbības nepārtrauktības plānus un reaģēšanas un seku novēršanas pasākumus, kas minēti Regulas (ES) 2022/2554 16. panta 1. punkta f) apakšpunktā;
piešķir un vismaz reizi gadā pārskata budžetu, kas nepieciešams, lai apmierinātu finanšu vienības digitālās darbības noturības vajadzības attiecībā uz visu veidu resursiem, tajā skaitā attiecīgajām IKT drošības izpratnes veidošanas programmām un digitālās darbības noturības mācībām, un IKT prasmēm visam personālam;
nosaka un īsteno politiku un pasākumus, kas ietverti šīs sadaļas I, II un III nodaļā, lai identificētu, novērtētu un pārvaldītu IKT risku, kam finanšu vienība ir pakļauta;
nosaka un īsteno procedūras, IKT protokolus un rīkus, kas nepieciešami, lai aizsargātu visus informācijas aktīvus un IKT aktīvus;
nodrošina, ka finanšu vienības darbinieki pastāvīgi atjaunina pietiekamas zināšanas un prasmes, kas ļauj saprast un novērtēt IKT risku un tā ietekmi uz finanšu vienības darbību, atbilstīgi pārvaldītajam IKT riskam;
nosaka ziņošanas kārtību, tajā skaitā tā ziņojuma biežumu, formu un saturu, kas izmantojams, lai ziņotu vadības struktūrai par informācijas drošību un digitālās darbības noturību.
29. pants
Informācijas drošības politika un pasākumi
IKT drošības pasākumi ietver visus 30.–38. pantā minētos pasākumus.
30. pants
Informācijas aktīvu un IKT aktīvu klasifikācija
31. pants
IKT riska pārvaldība
Regulas (ES) 2022/2554 16. panta 1. punktā minētās finanšu vienības savā vienkāršotajā IKT riska pārvaldības sistēmā iekļauj visus no šiem elementiem:
riska tolerances līmeņa noteikšana IKT riskam saskaņā ar finanšu vienības vēlmi uzņemties risku;
to IKT risku identifikācija un novērtējums, kuram finanšu vienība ir pakļauta;
riska mazināšanas stratēģiju noteikšana vismaz tiem IKT riskiem, kas neiekļaujas finanšu vienības riska tolerances līmenī;
c) apakšpunktā minēto riska mazināšanas stratēģiju efektivitātes uzraudzība;
jebkuru tādu IKT un informācijas drošības risku identifikācija un novērtējums, kuri izriet no jebkurām nozīmīgām IKT sistēmas vai IKT pakalpojumu, procesu vai procedūru izmaiņām un no IKT drošības testēšanas rezultātiem un pēc jebkura būtiska ar IKT saistīta incidenta.
32. pants
Fiziskā un vides drošība
II NODAĻA
IKT riska ietekmes mazināšanas sistēmu, protokolu un rīku papildu elementi
33. pants
Piekļuves kontrole
Regulas (ES) 2022/2554 16. panta 1. punktā minētās finanšu vienības izstrādā, dokumentē un īsteno procedūras loģiskās un fiziskās piekļuves kontrolei un īsteno, uzrauga un periodiski pārskata šīs procedūras. Minētās procedūras ietver šādus loģiskās un fiziskās piekļuves kontroles elementus:
tiesības attiecībā uz piekļuvi informācijas aktīviem, IKT aktīviem un to atbalstītajām funkcijām, un finanšu vienības darbības kritiskajām vietām tiek pārvaldītas saskaņā ar principiem “vajadzība zināt”, “vajadzība izmantot” un mazāko tiesību principu, arī attiecībā uz attālu un ārkārtas piekļuvi;
lietotāju pārskatatbildība, kas nodrošina, ka lietotājus var identificēt attiecībā uz IKT sistēmās veiktajām darbībām;
kontu pārvaldības procedūras, lai piešķirtu, mainītu vai atsauktu piekļuves tiesības lietotāju un vispārējiem kontiem, tajā skaitā vispārējiem administratoru kontiem;
autentifikācijas metodes, kas ir samērīgas ar 30. panta 1. punktā minēto klasifikāciju un IKT aktīvu vispārējo riska profilu un ir balstītas uz paraugpraksi;
piekļuves tiesības tiek periodiski pārskatītas un atsauktas, kad tās vairs nav vajadzīgas.
Šā punkta c) apakšpunkta nolūkos finanšu vienība piešķir privileģētu, ārkārtas un administratora piekļuvi pēc principa “vajadzība izmantot” vai uz ad hoc pamata attiecībā uz visām IKT sistēmām, un to reģistrē žurnālā saskaņā ar 34. panta pirmās daļas f) punktu.
Šā punkta d) apakšpunkta nolūkos finanšu vienības izmanto stingras, uz paraugpraksi balstītas autentifikācijas metodes attiecībā uz attālu piekļuvi finanšu vienību tīklam, privileģētu piekļuvi un piekļuvi IKT aktīviem, kas atbalsta kritiski svarīgas vai svarīgas funkcijas, kuras ir publiski pieejamas.
34. pants
IKT darbību drošība
Regulas (ES) 2022/2554 16. panta 1. punktā minētās finanšu vienības savu sistēmu, protokolu un rīku ietvaros un attiecībā uz visiem IKT aktīviem:
uzrauga un pārvalda visu IKT aktīvu aprites ciklu;
attiecīgā gadījumā uzrauga, vai IKT aktīvus atbalsta finanšu vienību trešās personas, kas sniedz IKT pakalpojumus;
identificē savu IKT aktīvu jaudas prasības un pasākumus, lai saglabātu un uzlabotu IKT sistēmu pieejamību un efektivitāti un novērstu IKT jaudas trūkumu, pirms tas rodas;
veic automatizētu ievainojamības izvērtēšanu un IKT aktīvu novērtējumus atbilstīgi to klasifikācijai, kas minēta 30. panta 1. punktā, un IKT aktīva vispārējam riska profilam un izmanto ielāpus, lai risinātu identificēto ievainojamību;
pārvalda riskus, kas saistīti ar novecojušiem, neatbalstītiem vai mantotiem IKT aktīviem;
reģistrē notikumus, kas saistīti ar loģiskās un fiziskās piekļuves kontroli, IKT darbībām, tajā skaitā sistēmu un tīklu datplūsmas darbībām, un IKT izmaiņu pārvaldību;
identificē un īsteno pasākumus, lai uzraudzītu un analizētu informāciju par anomālām darbībām un uzvedību attiecībā uz kritiski svarīgām vai svarīgām IKT darbībām;
īsteno pasākumus, lai uzraudzītu būtisko un aktuālo informāciju par kiberdraudiem;
īsteno pasākumus, lai apzinātu iespējamas informācijas noplūdes, ļaunprātīgus kodus un citus drošības apdraudējumus, un publiski zināmu ievainojamību attiecībā uz programmatūru un aparatūru, un pārbauda, vai nav atbilstošu jaunu drošības atjauninājumu.
Šā punkta f) apakšpunkta nolūkos finanšu vienības pielāgo žurnālu detalizācijas līmeni to mērķim un IKT aktīva, kas sagatavo šos žurnālus, izmantojumam.
35. pants
Datu, sistēmu un tīkla drošība
Regulas (ES) 2022/2554 16. panta 1. punktā minētās finanšu vienības kā daļu no savām sistēmām, protokoliem un rīkiem izstrādā un īsteno aizsardzības pasākumus, kas nodrošina tīklu aizsardzību pret ielaušanos un datu ļaunprātīgu izmantošanu un kas saglabā datu pieejamību, autentiskumu, integritāti un konfidencialitāti. Konkrētāk, finanšu vienības, ņemot vērā šīs regulas 30. panta 1. punktā minēto klasifikāciju, nosaka:
pasākumu identifikāciju un īstenošanu, lai aizsargātu datus, kad tie tiek izmantoti, tiek nosūtīti vai tiek glabāti;
drošības pasākumu identifikāciju un īstenošanu attiecībā uz tādas programmatūras, datu nesēju, sistēmu un galapunkta ierīču izmantošanu, kuras nosūta un glabā finanšu vienības datus;
pasākumu identifikāciju un īstenošanu, lai novērstu un atklātu neatļautu pieslēgšanos finanšu vienības tīklam un aizsargātu tīkla datplūsmu starp finanšu vienības iekšējiem tīkliem un internetu un citiem ārējiem pieslēgumiem;
pasākumu identifikāciju un īstenošanu, lai nodrošinātu datu pieejamību, autentiskumu, integritāti un konfidencialitāti, kad notiek nosūtīšana tīklā;
procesu to datu drošai dzēšanai, kas tiek turēti telpās vai tiek glabāti ārēji un ko finanšu vienībai vairs nav nepieciešams vākt vai glabāt;
procesu, lai droši utilizētu vai izņemtu no ekspluatācijas telpās esošās datu glabāšanas ierīces vai datu glabāšanas ierīces, kas tiek glabātas ārēji un kas satur konfidenciālu informāciju;
pasākumu identifikāciju un īstenošanu, lai nodrošinātu, ka tāldarbs un privātu galapunkta ierīču izmantošana nelabvēlīgi neietekmē finanšu vienības spēju veikt tās kritiski svarīgās darbības pienācīgā, savlaicīgā un drošā veidā.
36. pants
IKT drošības testēšana
37. pants
IKT sistēmu iegāde, izstrāde un uzturēšana
Regulas (ES) 2022/2554 16. panta 1. punktā minētās finanšu vienības attiecīgā gadījumā izstrādā un īsteno procedūru, kas reglamentē IKT sistēmu iegādi, izstrādi un uzturēšanu, ievērojot uz risku balstītu pieeju. Minētā procedūra:
nodrošina, ka pirms jebkuras IKT sistēmu iegādes vai izstrādes attiecīgā uzņēmējdarbības funkcija skaidri nosaka un apstiprina funkcionālās un nefunkcionālās prasības, tajā skaitā informācijas drošības prasības;
nodrošina IKT sistēmu testēšanu un apstiprināšanu pirms to pirmreizējās izmantošanas un pirms izmaiņu ieviešanas ražošanas vidē;
nosaka pasākumus, lai mazinātu IKT sistēmu nejaušas pārveides vai tīšu manipulāciju ar tām risku, kad notiek izstrāde un ieviešana ražošanas vidē.
38. pants
IKT projektu un izmaiņu pārvaldība
III NODAĻA
IKT darbības nepārtrauktības pārvaldība
39. pants
IKT darbības nepārtrauktības plāna elementi
Šā panta 1. punktā minētie IKT darbības nepārtrauktības plāni:
tiek apstiprināti finanšu vienības vadības struktūrā;
tiek dokumentēti un ir ātri pieejami ārkārtas vai krīzes gadījumā;
paredz pietiekamus resursus to izpildei;
nosaka plānotos seku novēršanas līmeņus un termiņus funkciju un galveno iekšējo un ārējo atkarību, tajā skaitā trešo personu, kas sniedz IKT pakalpojumus, atgūšanai un atjaunošanai;
paredz nosacījumus, kuriem izpildoties, var aktivizēt IKT darbības nepārtrauktības plānus, un nosaka, kādas darbības ir jāveic, lai nodrošinātu finanšu vienību IKT aktīvu, kas atbalsta kritiski svarīgas vai svarīgas funkcijas, pieejamību, nepārtrauktību un atgūšanu;
nosaka atjaunošanas un atgūšanas pasākumus kritiski svarīgām vai svarīgām uzņēmējdarbības funkcijām, atbalsta procesiem, informācijas aktīviem un to savstarpējai atkarībai, lai izvairītos no nelabvēlīgas ietekmes uz finanšu vienību darbību;
paredz rezerves kopiju veidošanas procedūras un pasākumus, kas nosaka to datu tvērumu, kuriem jāveido rezerves kopijas, un rezerves kopiju veidošanas minimālo biežumu, pamatojoties uz šos datus izmantojošās funkcijas svarīgumu;
ņem vērā alternatīvas iespējas, ja atgūšana īstermiņā nav iespējama izmaksu, riska, loģistikas vai neparedzētu apstākļu dēļ;
nosaka iekšējās un ārējās saziņas kārtību, tajā skaitā eskalācijas plānus;
tiek atjaunināti atbilstīgi atziņām, kas gūtas no incidentiem, testiem, jauniem riskiem un apzinātajiem draudiem, mainītiem atgūšanas mērķiem, būtiskām izmaiņām finanšu vienības organizācijā un IKT aktīvos, kas atbalsta kritiski svarīgas vai uzņēmējdarbības funkcijas.
Šā punkta f) apakšpunkta nolūkos minētajā punktā paredzētie pasākumi paredz kritisku trešo personu, kas sniedz pakalpojumus, atteiču mazināšanu.
40. pants
Darbības nepārtrauktības plānu testēšana
IV NODAĻA
Ziņojums par vienkāršotās IKT riska pārvaldības sistēmas pārskatīšanu
41. pants
Ziņojuma par vienkāršotās IKT riska pārvaldības sistēmas pārskatīšanu formāts un saturs
Šā panta 1. punktā minētajā ziņojumā ietver visu turpmāk minēto informāciju:
ievada iedaļa, kurā ietver:
aprakstu par ziņojuma kontekstu – finanšu vienības pakalpojumu, pasākumu un darbību veidu, mērogu un sarežģītību, finanšu vienības organizāciju, identificētajām kritiskajām funkcijām, stratēģiju, būtiskiem notiekošiem projektiem vai darbībām, un attiecībām, un finanšu vienības atkarību no vietējiem vai ārpakalpojumu sniedzējiem uzticētiem IKT pakalpojumiem un sistēmām vai ietekmi, kāda šādu sistēmu pilnīgai zaudēšanai vai būtiskam darbības pasliktinājumam būtu uz kritiskajām vai svarīgajām funkcijām un tirgus efektivitāti;
izpildvaras līmeņa kopsavilkumu par apzināto pašreizējo un īstermiņa IKT risku, draudu vidi, novērtēto tās kontroļu efektivitāti un finanšu vienības drošības stāvokli;
informāciju par jomu, par kuru tiek ziņots;
kopsavilkumu par nozīmīgām IKT riska pārvaldības sistēmas izmaiņām kopš iepriekšējā iesniegtā ziņojuma;
kopsavilkumu un aprakstu par būtisku vienkāršotās IKT riska pārvaldības sistēmas izmaiņu ietekmi kopš iepriekšējā ziņojuma;
attiecīgā gadījumā – datums, kurā finanšu vienības vadības struktūra apstiprinājusi ziņojumu;
pārskatīšanas iemeslu apraksts, ietverot:
ja pārskatīšana sākta pēc uzraudzības norādījumiem – pierādījumus par šādiem norādījumiem;
ja pārskatīšana sākta pēc tam, kad notikuši ar IKT saistīti incidenti, – visu šo ar IKT saistīto incidentu sarakstu kopā ar saistīto cēloņu analīzi;
pārskata perioda sākuma un beigu datums;
par pārskatīšanu atbildīgā persona;
konstatējumu kopsavilkums un pašnovērtējums par IKT riska pārvaldības sistēmā apzināto vājo vietu, trūkumu un nepilnību smagumu par pārskata periodu, iekļaujot sīku to analīzi;
noteiktie izlabošanas pasākumi vienkāršotās IKT riska pārvaldības sistēmas vājo vietu, trūkumu un nepilnību risināšanai un paredzamais datums šo pasākumu īstenošanai, tajā skaitā turpmākā rīcība pēc iepriekšējos ziņojumos identificētajām vājajām vietām, trūkumiem un nepilnībām, ja šīs vājās vietas, trūkumi un nepilnības vēl nav novērstas;
vispārēji secinājumi par vienkāršotās IKT riska pārvaldības sistēmas pārskatīšanu, tajā skaitā jebkāda turpmāk plānotā attīstība.
IV SADAĻA
NOBEIGUMA NOTEIKUMI
42. pants
Stāšanās spēkā
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
( 1 ) Eiropas Parlamenta un Padomes Direktīva (ES) 2019/1937 (2019. gada 23. oktobris) par to personu aizsardzību, kuras ziņo par Savienības tiesību aktu pārkāpumiem (OV L 305, 26.11.2019., 17. lpp., ELI: http://data.europa.eu/eli/dir/2019/1937/oj).
( 2 ) Komisijas Deleģētā regula (ES) 2024/1772 (2024. gada 13. marts), ar ko Eiropas Parlamenta un Padomes Regulu (ES) 2022/2554 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem, kuros precizēti kritēriji ar IKT saistītu incidentu un kiberdraudu klasifikācijai, nosakot būtiskuma robežvērtības un precizējot sīkāku informāciju, kas ietverama ziņojumos par būtiskiem incidentiem (OV L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj).