Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: SV

Artikel 13 Lärande och utveckling

    1. Finansiella entiteter ska ha lämplig kapacitet och personal för att samla in information om sårbarheter och cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881., IKT-relaterade incidenter, särskilt cyberangreppen skadlig IKT-relaterad incident orsakad av ett försök av en fientlig aktör att förstöra, exponera, ändra, deaktivera, stjäla eller få obehörig åtkomst till eller obehörigt utnyttja en tillgång., och analysera vilken inverkan de kan förmodas ha på den digitala operativa motståndskraften.

    1. Finansiella entiteter ska införa efterhandsöversyner av IKT-relaterade incidenter efter det att en allvarlig IKT-relaterad incidenten IKT-relaterad incident som har stor negativ inverkan på nätverks- och informationssystem som stöder den finansiella entitetens kritiska eller viktiga funktioner. medför ett avbrott i kärnverksamheten, så att orsakerna till avbrotten kan analyseras och nödvändiga förbättringar av IKT-verksamheten eller i den IKT-kontinuitetspolicy som avses i artikel 11 identifieras.

    2. Andra finansiella entiteter än mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. ska på begäran till de behöriga myndigheterna meddela vilka ändringar som genomfördes efter de efterhandsöversyner av IKT-relaterade incidenter som avses i första stycket.

    3. De efterhandsöversyner av IKT-relaterade incidenter som avses i första stycket ska fastställa om de fastställda förfarandena följdes och om de åtgärder som vidtogs var effektiva, bl.a. när det gäller

      1. svarstiden för att reagera på säkerhetsvarningar och fastställa konsekvenserna av IKT-relaterade incidenter och deras allvarlighetsgrad,

      2. kvalitet och snabbhet i utförandet av kriminaltekniska analyser, om så är lämpligt,

      3. incidenteskaleringens effektivitet inom den finansiella entiteten,

      4. effektiviteten i intern och extern kommunikation.

    1. Lärdomar av den testning av digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. som har utförts i enlighet med artiklarna 26 och 27 och av verkliga IKT-relaterade incidenter, särskilt cyberangreppen skadlig IKT-relaterad incident orsakad av ett försök av en fientlig aktör att förstöra, exponera, ändra, deaktivera, stjäla eller få obehörig åtkomst till eller obehörigt utnyttja en tillgång., samt utmaningar i samband med aktivering av IKT-kontinuitetsplaner och åtgärds- och återställningsplaner avseende IKT och relevant information som har utväxlats med motparter och bedömts under tillsynsgranskningar, ska införlivas fortlöpande i IKT-riskbedömningsprocessen. Dessa resultat ska utgöra en grund för lämpliga översyner av relevanta delar i den IKT-riskhanteringsram som avses i artikel 6.1.

    1. Finansiella entiteter ska övervaka effektiviteten i genomförandet av den strategi för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. som anges i artikel 6.8. De ska kartlägga IKT-riskens utveckling över tid, analysera IKT-relaterade incidenters frekvens, typ, omfattning och utveckling, särskilt cyberangreppen skadlig IKT-relaterad incident orsakad av ett försök av en fientlig aktör att förstöra, exponera, ändra, deaktivera, stjäla eller få obehörig åtkomst till eller obehörigt utnyttja en tillgång. och deras mönster, i syfte att förstå graden av IKT-riskexponering, särskilt när det gäller kritiska eller viktiga funktioner, och öka den finansiella entitetens cybermognad och cyberberedskap.

    1. Senior IKT-personal ska minst en gång per år rapportera till ledningsorganet om de resultat som avses i punkt 3 och lägga fram rekommendationer.

    1. Finansiella entiteter ska utarbeta program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. som obligatoriska moduler i sina personalutbildningsprogram. Dessa program och utbildningar ska gälla för alla anställda och personer i ledande ställning, och deras komplexitet ska motsvara behörigheten för personens roll. När så är lämpligt ska finansiella entiteter också inkludera tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. i sina relevanta utbildningar, i enlighet med artikel 30.2 i.

    1. Andra finansiella entiteter än mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR. ska kontinuerligt övervaka relevant teknisk utveckling, även i syfte att förstå vilka konsekvenser införandet av sådan ny teknik kan få för IKT-säkerhetskraven och den digitala operativa motståndskraften. De ska hålla sig uppdaterade om de senaste IKT-riskhanteringsprocesserna för att effektivt bekämpa nuvarande eller nya former av cyberangreppen skadlig IKT-relaterad incident orsakad av ett försök av en fientlig aktör att förstöra, exponera, ändra, deaktivera, stjäla eller få obehörig åtkomst till eller obehörigt utnyttja en tillgång..

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod