Оперативна устойчивост на цифровите технологии във финансовия сектор

 

РЕЗЮМЕ НА:

Регламент (ЕС) 2022/2554 относно оперативната устойчивост на цифровите технологии във финансовия сектор

КАКВА Е ЦЕЛТА НА РЕГЛАМЕНТА?

В него се определят единни правила за сигурността на мрежовите и информационните системи на финансовите институции, като например банки, застрахователни дружества и инвестиционни посредници.

Той обхваща широк кръг от регулирани от Европейския съюз (ЕС) финансови субекти, като изисква от тях да устояват, да реагират и да се възстановяват от всяко смущение или заплаха, свързани с информационните и комуникационните технологии (ИКТ).

ОСНОВНИ АСПЕКТИ

Обхват

Регламентът обхваща:

• кредитните институции, платежните институции, институциите за електронни пари и институциите за професионално пенсионно осигуряване;
• доставчиците на услуги за информация за сметки, криптоактиви, докладване на данни, групово финансиране и трети страни в областта на ИКТ;
• инвестиционни посредници, алтернативни инвестиционни фондове, управляващи дружества, агенции за кредитен рейтинг и администратори на критични бенчмаркове;
• регистрите за търговия и секюритизация, централните депозитари на ценни книжа, централните контрагенти и местата за търговия;
• застрахователи, застрахователни посредници и презастрахователни предприятия.

Управление на риска в областта на ИКТ

Финансовите субекти, различни от микропредприятията:

• имат въведени мерки за вътрешно управление и контрол, които гарантират ефективно и разумно управление на риска, свързан с ИКТ;
• гарантират, че техният управителен орган определя, одобрява, контролира и отговаря за всички съответни мерки;
• разполагат с надеждна, всеобхватна и добре документирана рамка за управление на риска в областта на ИКТ с необходимите стратегии, политики, процедури, протоколи и инструменти за бърза и ефективна реакция;
• използват и поддържат актуализирани ИКТ системи, протоколи и инструменти, които са подходящи, надеждни, технологично устойчиви и с достатъчен капацитет;
• идентифицират, класифицират и адекватно документират всички бизнес функции, роли и отговорности, поддържани от ИКТ, и правят преглед на рисковите сценарии;
• непрекъснато следят за сигурността и функционирането на ИКТ системите и инструментите, за да сведат до минимум въздействието на всеки риск в областта на ИКТ;
• своевременно откриват аномалии и идентифицират потенциални точки на срив;
• въвеждат цялостна политика за непрекъснатост на дейността на ИКТ с подходящи планове, процедури и механизми;
• разработват и документират политики за архивиране и процедури за възстановяване на информацията;
• разполагат с ресурси и персонал за оценка на уязвимостите и киберзаплахите, инцидентите, свързани с ИКТ, особено кибератаките, и анализират потенциалното им въздействие върху цифровата оперативна устойчивост на структурата;
• разработват планове за кризисна комуникация, за да разкриват поне основните инциденти или уязвимости, свързани с ИКТ, на клиентите, партньорите и обществеността.

Управление, класификация и отчитане, свързани с ИКТ

Финансовите субекти:

• определят, въвеждат и прилагат мерки за откриване, управление, запис и съобщаване на инциденти в областта на ИКТ;
• класифицират инцидентите и определят тяхното въздействие, като използват критерии, като например брой на засегнатите клиенти и партньори, продължителност, географско разпространение и загуба на данни;
• докладват за големи инциденти, свързани с ИКТ, на определения от тях компетентен орган, който ги препраща на по-висшестоящ орган, като Европейската централна банка или Европейския банков орган.

Тестване на цифровата оперативна устойчивост

Финансовите субекти, различни от микропредприятията:

• създават, поддържат и преразглеждат надеждна и всеобхватна програма за оперативно тестване на цифрови технологии, оборудвана с необходимите оценки, тестове, методологии, практики и инструменти;
• извършват поне веднъж на три години тестове за проникване на ниво заплаха въз основа на своя рисков профил и като отчитат оперативните обстоятелства — и използват само тестери, които са сертифицирани, притежават необходимия опит и пригодност и имат застраховка за професионална отговорност.

Управление на риска в областта на ИКТ, пораждан от трети страни

Финансовите субекти:

• управляват риска от трети страни като неразделен компонент на общия риск, свързан с ИКТ;
• имат въведени договорни споразумения за ИКТ услуги, за да осъществяват своите бизнес операции в пълно съответствие със съответното законодателство;
• отчитат естеството, мащаба, сложността и важността на свързаните с ИКТ зависимости и всички потенциални рискове;
• преценяват ползите и разходите за алтернативни решения, когато идентифицират и оценяват всички свързани рискове;
• включат в договора правата и задълженията на всяка от страните и споразумението за услуги.

Надзорна рамка за трети страни критични доставчици на услуги в областта на ИКТ

Рамката:

• възлага на Европейските надзорни органи (ЕНО) да:
  • определят, въз основа на ясни критерии, доставчиците на услуги от трети страни в областта на ИКТ, които се считат за критични за финансовите предприятия,
  • определят като водещ надзорник за всеки критичен доставчик на услуги от трета страна ЕНО, отговарящ за съответния финансов субект;
• създава Надзорен форум, който да:
  • обсъжда съответното развитие в областта на риска и уязвимостта на ИКТ и да насърчава последователен подход на ЕС за наблюдение,
  • ежегодно да оценява дейностите по надзора, да насърчава действията за повишаване на оперативната устойчивост на цифровите технологии и да насърчава най-добрите практики,
  • представя изчерпателни референтни показатели за критични доставчици на ИКТ услуги от трети страни;
• упълномощава водещия надзорник да:
  • бъде основна точка за контакт с трети страни, доставчици на критични услуги в областта на ИКТ,
  • оценява дали всеки доставчик на критични услуги разполага с изчерпателни, надеждни и ефективни правила, процедури, механизми и договорености,
  • изисква цялата необходима информация и документация, да провежда разследвания и проверки (включително в държави извън ЕС), да определя коригиращи действия и да издава препоръки;
• дава възможност на Европейския банков орган, Европейския орган за застраховане и професионално пенсионно осигуряване и Европейския орган за ценни книжа и пазари да работят с регулаторни и надзорни органи извън ЕС по отношение на риска, свързан с ИКТ от трети страни;
• изисква на всеки пет години ЕНО да представят поверителен доклад на Европейския парламент, Съвета на Европейския съюз и Европейската комисия за отношенията си с органи извън ЕС.

Споразумения за обмен на информация

Финансовите субекти могат да обменят помежду си информация за киберзаплахи и разузнавателни данни, при условие че това:

• има за цел да укрепи тяхната цифрова оперативна устойчивост;
• се осъществява в рамките на техните доверени общности;
• защитава търговската тайна и личните данни и спазва правилата на политиката в областта на конкуренцията.

Санкции и коригиращи мерки

Компетентните органи:

• разполагат с всички правомощия за надзор, разследване и налагане на санкции, необходими за изпълнение на задълженията им;
• налагат и публикуват на своите уебсайтове административните наказания и коригиращите мерки, определени от националното законодателство.

ЕНО изготвя проекти на регулаторни технически стандарти за инструментите за управление на риска в областта на ИКТ, класифицирането и докладването на инциденти, свързани с ИКТ, и провеждането на надзорни дейности.

Комисията:

• има правомощието да приема делегирани актове;
• Подава в срок до 17 януари 2028 г. преглед на регламента, след консултация с ЕНО и Европейския съвет за системен риск, до Парламента и Съвета.

С регламента се изменят регламенти (EО) № 1060/2009, (EС) № 648/2012, (EС) № 909/2014, (EС) № 600/2014 и (EС) 2016/1011.

ОТКОГА СЕ ПРИЛАГА РЕГЛАМЕНТЪТ?

Той се прилага от 17 януари 2025 г.

ОБЩА ИНФОРМАЦИЯ

Реформите, последвали финансовата криза от 2008 г., укрепиха най-вече финансовата стабилност на сектора. Рисковете, свързани с информационните и комуникационните технологии, бяха разгледани само косвено в някои области и продължиха да представляват предизвикателство за оперативната устойчивост, функционирането и стабилността на финансовата система на ЕС.

Регламентът, известен като DORA, е част от по-голям пакет за цифрови финанси, целящ да насърчи технологичното развитие и да осигури финансова стабилност и защита на потребителите. Другите му елементи обхващат стратегия за цифрови финанси, пазари на криптоактиви и технология на децентрализирания регистър.

За допълнителна информация вж.:

• Цифров финансов пакет (Европейска комисия)

ОСНОВЕН ДОКУМЕНТ

Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 година относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 (ОВ L 333, 27.12.2022 г., стр. 1—79).

СВЪРЗАНИ ДОКУМЕНТИ

Съобщение на Комисията до Европейския парламент, Съвета, Европейския икономически и социален комитет и Комитета на регионите — Стратегия за цифровизиране на финансовите услуги в ЕС (COM(2020) 591 final, 24.9.2020 г.).

Регламент (ЕС) 2016/1011 на Европейския парламент и на Съвета от 8 юни 2016 година относно индекси, използвани като бенчмаркове за целите на финансови инструменти и финансови договори или за измерване на резултатите на инвестиционни фондове, и за изменение на директиви 2008/48/ЕО и 2014/17/ЕС и на Регламент (ЕС) № 596/2014 (ОВ L 171, 29.6.2016 г., стр. 1—65).

Последващите изменения на Регламент (ЕС) 2016/1011 са включени в първоначалния текст. Тази консолидирана версия е само за документална справка.

Регламент (ЕС) № 909/2014 на Европейския парламент и на Съвета от 23 юли 2014 година за подобряване на сетълмента на ценни книжа в Европейския съюз и за централните депозитари на ценни книжа, както и за изменение на директиви 98/26/ЕО и 2014/65/ЕС и Регламент (ЕС) № 236/2012 текст от значение за ЕИП (ОВ L 257, 28.8.2014 г., стр. 1—72).

Вж. консолидираната версия.

Регламент (ЕС) № 600/2014 на Европейския парламент и на Съвета от 15 май 2014 година относно пазарите на финансови инструменти и за изменение на Регламент (ЕС) № 648/2012 (OВ L 173, 12.6.2014 г., стр. 84—148).

Вж. консолидираната версия.

Регламент (ЕС) № 648/2012 на Европейския парламент и на Съвета от 4 юли 2012 година относно извънборсовите деривати, централните контрагенти и регистрите на транзакции (ОВ L 201, 27.7.2012 г., стр. 1—59).

Вж. консолидираната версия.

Регламент (ЕО) № 1060/2009 на Европейския парламент и на Съвета от 16 септември 2009 година относно агенциите за кредитен рейтинг (ОВ L 302, 17.11.2009 г., стр. 1—31).

Вж. консолидираната версия.

последно актуализация 10.01.2024