Artikel 15 Ytterligare harmonisering av verktyg, metoder, processer och strategier för IKT-riskhantering

1. närmare specificera delar som ska ingå i de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i syfte att säkerställa säkerheten i nätverk, möjliggöra lämpliga skyddsåtgärder mot intrång och missbruk av uppgifter, bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet, inbegripet krypteringsmetoder, och garantera en korrekt och snabb dataöverföring utan allvarliga avbrott och onödiga dröjsmål,

2. utveckla ytterligare komponenter i den hantering av kontroll av åtkomsträttigheter som avses i artikel 9.4 c och tillhörande personalpolitik där det specificeras åtkomsträttigheter, förfaranden för beviljande och återkallande av rättigheter, övervakning av onormalt beteende i förhållande till IKT-riskvarje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön. genom lämpliga indikatorer, inbegripet mönster för nätanvändning, tidpunkter, it-verksamhet och okänd utrustning,

3. vidareutveckla de mekanismer som anges i artikel 10.1 för att möjliggöra en snabb upptäckt av onormal verksamhet och de kriterier som fastställs i artikel 10.2 som utlöser processer för upptäckt och hantering av IKT-relaterade incidenter,

4. närmare specificera komponenterna i den IKT-kontinuitetspolicy som avses i artikel 11.1,

5. närmare specificera de tester av IKT-kontinuitetsplaner som avses i artikel 11.6 för att säkerställa att det vid sådan testning tas tillräckligt stor hänsyn till scenarier där kvaliteten på tillhandahållandet av en kritisk eller viktig funktionen funktion vars avbrott väsentligt skulle försämra den finansiella entitetens finansiella resultat eller sundheten eller kontinuiteten i dess tjänster och verksamhet, eller om funktionens upphörande, brister eller misslyckande väsentligt skulle försämra en finansiell entitets fortsatta efterlevnad av villkoren och skyldigheterna i auktorisationen eller av dess övriga skyldigheter enligt tillämplig rätt avseende finansiella tjänster. försämras till en oacceptabel nivå eller tillhandahållandet avbryts, och till de potentiella konsekvenserna av insolvens eller andra fel hos en relevant tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster. och, i förekommande fall, de politiska riskerna i respektive leverantörers jurisdiktioner,

6. närmare specificera komponenterna i de åtgärds- och återställningsplaner avseende IKT som avses i artikel 11.3,

7. närmare specificera innehållet i och formatet för den rapport om översynen av IKT-riskhanteringsramen som avses i artikel 6.5.

När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de beakta den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser, samtidigt som vederbörlig hänsyn tas till eventuella särdrag som härrör från den särskilda karaktären på verksamheten i olika sektorer för finansiella tjänster.

De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.