Digitalna operativna odpornost za finančni sektor

KLJUČNE TOČKE

Področje uporabe

Uredba zajema:

• kreditne, plačilne, elektronske denarne in poklicne pokojninske institucije;
• ponudnike storitev za informacije o računih, kripto sredstva, poročanje podatkov, množično financiranje in tretje osebe IKT;
• investicijska podjetja, alternativne investicijske sklade, družbe za upravljanje, bonitetne agencije in skrbnike kritičnih referenčnih vrednosti;
• repozitorije poslov in listinjenj, centralne depozitarje vrednostnih papirjev, centralne nasprotne stranke in mesta trgovanja;
• zavarovanje, zavarovalne posrednike in pozavarovanje.

Obvladovanje tveganj IKT

Finančni subjekti, razen mikropodjetij:

• imajo vzpostavljene notranje ukrepe upravljanja in nadzora, ki zagotavljajo učinkovito in preudarno obvladovanje tveganja IKT;
• zagotovijo, da njihov upravni organ opredeli, odobri, nadzira in je odgovoren za vse ustrezne ureditve;
• morajo imeti vzpostavljen zanesljiv, celovit in dobro dokumentiran okvir za obvladovanje tveganj IKT s potrebnimi strategijami, politikami, postopki, protokoli in orodji za hitro in učinkovito odzivanje;
• uporabljajo in vzdržujejo posodobljene sisteme, protokole in orodja IKT, ki so ustrezni, zanesljivi, tehnološko odporni in imajo zadostno zmogljivost;
• identificirajo, razvrstijo in ustrezno dokumentirajo vse z IKT podprte poslovne funkcije, vloge in odgovornosti ter pregledajo scenarije tveganja;
• stalno spremljajo varnost in delovanje sistemov in orodij IKT, da čim bolj zmanjšajo vpliv kakršnega koli tveganja IKT;
• nemudoma odkrijejo nepravilnosti in prepoznajo morebitne točke napak;
• vzpostavijo celovito politiko neprekinjenega poslovanja IKT z ustreznimi načrti, postopki in mehanizmi;
• razvijejo in dokumentirajo politike varnostnega kopiranja ter postopke obnovitve in obnovitve;
• uporabijo vire in osebje za ocenjevanje ranljivosti in kibernetskih groženj, incidentov, povezanih z IKT, zlasti kibernetskih napadov, ter analizirajo njihov potencialni vpliv na digitalno operativno odpornost subjekta;
• pripravijo načrte kriznega komuniciranja, da strankam, nasprotnim partnerjem in javnosti razkrijejo vsaj večje incidente ali ranljivosti, povezane z IKT.

Upravljanje, razvrščanje in poročanje, povezano z IKT

Finančni subjekti:

• opredelijo, vzpostavijo in izvajajo ukrepe za odkrivanje, upravljanje, evidentiranje in obveščanje o incidentih, povezanih z IKT;
• razvrstijo incidente in določijo njihov vpliv z uporabo meril, kot so število prizadetih strank in nasprotnih strank, trajanje, geografska razširjenost in izgube podatkov;
• poročajo o večjih incidentih, povezanih z IKT, svojemu imenovanemu pristojnemu organu, ki to posreduje višjemu organu, kot je Evropska centralna banka ali Evropski bančni organ.

Digitalno testiranje operativne odpornosti

Finančni subjekti, razen mikropodjetij:

• vzpostavijo, vzdržujejo in pregledujejo zanesljiv in celovit program digitalnega operativnega testiranja, opremljen s potrebnimi ocenami, testi, metodologijami, praksami in orodji;
• vsaj vsaka 3 leta opravijo testiranje stopnje grožnje glede prodora na podlagi njihovega profila tveganja in ob upoštevanju operativnih okoliščin – in uporabljajo samo preizkuševalce, ki so certificirani, imajo potrebno strokovno znanje in izkušnje ter primernost in imajo zavarovanje poklicne odgovornosti.

Upravljanje tveganj tretjih oseb IKT

Finančni subjekti:

• obvladujejo tveganje tretjih oseb kot sestavni del svojega celotnega tveganja IKT;
• morajo imeti vzpostavljene pogodbene dogovore za storitve IKT za vodenje svojih poslovnih operacij v celoti v skladu z ustrezno zakonodajo;
• upoštevajo naravo, obseg, zapletenost in pomen odvisnosti, povezanih z IKT, ter vsa morebitna tveganja, ob popolni skladnosti z ustrezno zakonodajo;
• pretehtajo koristi in stroške alternativnih rešitev pri ugotavljanju in ocenjevanju vseh vključenih tveganj;
• v pogodbo vključijo pravice in obveznosti vsake stranke ter pogodbo o storitvah.

Okvir nadzora ključnih tretjih ponudnikov storitev IKT

Okvir:

• pooblašča evropske nadzorne organe (ESA), da:
• • na podlagi jasnih meril imenujejo tretje ponudnike storitev IKT, ki se štejejo za ključne za finančne subjekte,
  • kot glavnega nadzornika za vsakega kritičnega tretjega ponudnika storitev imenujejo ESA, odgovornega za zadevni finančni subjekt;
• vzpostavlja nadzorni forum za:
• • za razpravo o pomembnem razvoju tveganja in ranljivosti IKT ter spodbuja dosleden pristop spremljanja EU,
  • letno ocenjuje nadzorne dejavnosti, spodbuja ukrepe za povečanje digitalne operativne odpornosti in spodbuja najboljše prakse,
  • predložitev celovitih meril uspešnosti za kritične storitve tretjih oseb IKT ponudniki;
• pooblašča glavnega nadzornika, da:
• • da je primarna kontaktna točka za ključne ponudnike storitev IKT, tretje osebe,
  • oceni, ali ima vsak kritični ponudnik vzpostavljena celovita, zanesljiva in učinkovita pravila, postopke, mehanizme in ureditve,
  • zahteva vse ustrezne informacije in dokumentacijo, izvaja preiskave in inšpekcije (vključno v državah, ki niso članice EU), določi popravne ukrepe in izda priporočila;
• omogoča Evropskemu bančnemu organu, Evropskemu organu za zavarovanja in poklicne pokojnine ter Evropskemu organu za vrednostne papirje in trge, da sodelujejo z regulativnimi in nadzornimi organi zunaj EU pri tveganju tretjih oseb na področju IKT;
• zahteva, da evropski nadzorni organi vsakih pet let Evropskemu parlamentu, Svetu Evropske unije in Evropski komisiji predložijo zaupno poročilo o svojem poslovanju z organi zunaj EU.

Merila za določitev kritičnih ponudnikov

V skladu z Delegirano uredbo (EU) 2024/1502 je mogoče zunanje ponudnike storitev IKT označiti kot kritične in jih po dvostopenjski oceni uvrstiti pod neposredni nadzor evropskih nadzornih organov.

• 1. korak – kvantitativna merila

Ponudnik mora izpolnjevati merljive pragove, kot so:

• število finančnih subjektov, ki so odvisni od storitev ponudnika, ali delež njihovih skupnih sredstev;
• ali služi sistemskim institucijam (globalne sistemsko pomembne institucije (G-SII) ali druge sistemsko pomembne institucije (O-SII));
• ali je mogoče njegove storitve nadomestiti oziroma ali bi bil prehod k drugemu ponudniku težaven ali drag.

• 2. korak – kvalitativna merila

Ponudniki, ki izpolnjujejo zahteve iz 1. koraka, se nato ocenijo ob upoštevanju širših vidikov, med drugim:

• potencialni sistemski vpliv, če bi prišlo do motenj v njihovih storitvah;
• stopnja medsebojne odvisnosti med finančnimi subjekti, ki uporabljajo istega ponudnika;
• kritičnost podprtih funkcij;
• zanašanje na skupne podizvajalce.

Ponudnik je kot kritičen določen le, če izpolnjuje merila iz obeh korakov.

Dogovori o izmenjavi informacij

Finančni subjekti si lahko med seboj izmenjujejo informacije in obveščevalne podatke o kibernetskih grožnjah,

• če je to namenjeno krepitvi njihove digitalne operativne odpornosti;
• pod pogojem, da se to zgodi znotraj njihovih zaupanja vrednih skupnosti;
• da s tem ščitijo poslovno zaupnost in osebne podatke ter spoštujejo pravila politike konkurence.

Kazni in popravni ukrepi

Pristojni organi:

• imajo vsa nadzorna, preiskovalna in sankcijska pooblastila, potrebna za opravljanje svojih nalog;
• naložijo in objavijo na svojih spletnih straneh upravne kazni in popravne ukrepe, ki jih določa nacionalna zakonodaja.

ESA pripravljajo regulativne tehnične standarde za orodja za obvladovanje tveganja IKT, razvrščanje in poročanje o incidentih, povezanih z IKT, ter izvajanje nadzornih dejavnosti.

Komisija:

• ima pooblastilo za sprejemanje delegiranih aktov,
• do 17. januarja 2028 po posvetovanju z evropskimi nadzornimi organi in Evropskim odborom za sistemska tveganja predloži pregled uredbe Parlamentu in Svetu.

Uredba spreminja Uredbo (ES) št. 1060/2009, uredbe (EU) št. 648/2012, 909/2014 in 600/2014 ter Uredbo (EU) 2016/1011.