Artikel 10 Hantering av sårbarheter och programfixar

Som en del av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 ska finansiella entiteter utarbeta, dokumentera och genomföra förfaranden för sårbarhetshantering.

1. identifiera och uppdatera relevanta och tillförlitliga informationsresurser för att bygga upp och upprätthålla medvetenheten om sårbarheter,

2. säkerställa utförandet av automatiserade sårbarhetsbedömningar och bedömningar av IKT-tillgångar, varvid frekvensen för och omfattningen av dessa aktiviteter ska stå i proportion till den klassificering som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554 och IKT-tillgångens allmänna riskprofil,

3. kontrollera huruvida

   1. tredjepartsleverantörer av IKT-tjänster hanterar sårbarheter relaterade till de IKT-tjänster som tillhandahålls den finansiella entiteten,

   2. dessa tjänsteleverantörer i god tid rapporterar till den finansiella entiteten åtminstone de kritiska sårbarheterna och statistik och trender,

4. spåra användningen av

   1. tredjepartsbibliotek, inklusive bibliotek med öppen källkod, som används av IKT-tjänster som stöder kritiska eller viktiga funktioner,

   2. IKT-tjänster som utvecklats av den finansiella entiteten själv eller som specifikt anpassats eller utvecklats för den finansiella entiteten av en tredjepartsleverantör av IKT-tjänster,

5. upprätta förfaranden för ansvarsfullt offentliggörande av sårbarheter till kunder, motparter och till allmänheten,

6. prioritera införandet av programfixar och andra begränsningsåtgärder för att hantera de identifierade sårbarheterna,

7. övervaka och kontrollera avhjälpandet av sårbarheter,

8. kräva registrering av alla upptäckta sårbarheter som berör IKT-system och övervakning av hur de åtgärdas.

Vid tillämpning av led b ska finansiella entiteter utföra automatiserade sårbarhetsbedömningar och bedömningar av IKT-tillgångar för de IKT-tillgångar som stöder kritiska eller viktiga funktioner minst en gång i veckan.

Vid tillämpning av led c ska finansiella entiteter begära att tredjepartsleverantörer av IKT-tjänster undersöker de relevanta sårbarheterna, fastställer grundorsakerna och genomför lämpliga begränsningsåtgärder.

Vid tillämpning av led d ska finansiella entiteter, när så är lämpligt i samarbete med tredjepartsleverantören av IKT-tjänster, övervaka versionen och potentiella uppdateringar av tredjepartsbiblioteken. När det gäller IKT-tillgångar som är färdiga att använda (från lager) eller delar av IKT-tillgångar som förvärvats och används för IKT-tjänster som inte stöder kritiska eller viktiga funktioner, ska finansiella entiteter i möjligaste mån spåra användningen av tredjepartsbibliotek, inklusive bibliotek med öppen källkod.

Vid tillämpning av led f ska finansiella entiteter beakta sårbarhetens kritikalitet, den klassificering som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554 och riskprofilen för de IKT-tillgångar som berörs av de identifierade sårbarheterna.

Som en del av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 ska finansiella entiteter utarbeta, dokumentera och genomföra förfaranden för hantering av programfixar.

1. i möjligaste mån identifiera och utvärdera tillgängliga program- och hårdvarufixar och program- och hårdvaruuppdateringar med hjälp av automatiserade verktyg,

2. identifiera nödförfaranden för fixning och uppdatering av IKT-tillgångar,

3. testa och införa de program- och hårdvarufixar och de program- och hårdvaruuppdateringar som avses i artikel 8.2 b v, vi och vii,

4. fastställa tidsfrister för installation av program- och hårdvarufixar och program- och hårdvaruuppdateringar samt eskaleringsförfaranden om dessa tidsfrister inte kan hållas.