Artikel 11 Data- och systemsäkerhet

Som en del av de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i förordning (EU) 2022/2554 ska finansiella entiteter utarbeta, dokumentera och genomföra ett förfarande för data- och systemsäkerhet.

1. De åtkomstbegränsningar som avses i artikel 21 i den här förordningen och som stöder skyddskraven för varje klassificeringsnivå.

2. Identifiering av en baslinje för säker konfiguration för IKT-tillgångar vilken minimerar dessa IKT-tillgångars exponering för cyberhot, och åtgärder för att regelbundet kontrollera att dessa baslinjer används ändamålsenligt.

3. Identifiering av säkerhetsåtgärder för att säkerställa att endast godkänd programvara installeras i IKT-system och slutpunktsenheter.

4. Identifiering av säkerhetsåtgärder mot skadlig kod.

5. Identifiering av säkerhetsåtgärder för att säkerställa att endast godkända datalagringsmedier, system och slutpunktsenheter används för att överföra och lagra uppgifter från den finansiella entiteten.

6. Följande krav för att säkra användningen av bärbara slutpunktsenheter och privata icke-bärbara slutpunktsenheter:

   1. Kravet att använda en hanteringslösning för att fjärrhantera slutpunktsenheterna och fjärrensa den finansiella entitetens uppgifter.

   2. Kravet att använda säkerhetsmekanismer som inte kan ändras, tas bort eller kringgås av personal eller tredjepartsleverantörer av IKT-tjänster på ett obehörigt sätt.

   3. Kravet att använda flyttbara datalagringsenheter endast om den kvarstående IKT-risken ligger inom den finansiella entitetens risktoleransnivå enligt artikel 3 första stycket a.

7. Processen för att på ett säkert sätt radera uppgifter som finns i den finansiella entitetens lokaler eller lagras externt, och som den finansiella entiteten inte längre behöver samla in eller lagra.

8. Processen för att på ett säkert sätt bortskaffa eller obrukbargöra datalagringsenheter som finns i den finansiella entitetens lokaler eller lagras externt, och som innehåller konfidentiell information.

9. Identifiering och genomförande av säkerhetsåtgärder för att förhindra dataförlust och dataläckage för system och slutpunktsenheter.

10. Genomförande av säkerhetsåtgärder för att säkerställa att distansarbete och användning av privata slutpunktsenheter inte negativt påverkar den finansiella entitetens IKT-säkerhet.

11. När det gäller IKT-tillgångar eller tjänster som tillhandahålls av en tredjepartsleverantör av IKT-tjänster, identifiering och genomförande av krav för att upprätthålla digital operativ motståndskraft, i enlighet med resultaten av dataklassificeringen och IKT-riskbedömningen.

Vid tillämpning av led b ska den baslinje för säker konfiguration som avses i det ledet beakta ledande praxis och lämpliga metoder som fastställs i de standarder som definieras i artikel 2.1 i förordning (EU) nr 1025/2012.

1. Genomförande av leverantörens rekommenderade inställningar på de delar som används av den finansiella entiteten.

2. En tydlig fördelning av roller och ansvarsområden för informationssäkerhet mellan den finansiella entiteten och tredjepartsleverantören av IKT-tjänster, i enlighet med principen om den finansiella entitetens fulla ansvar för sin tredjepartsleverantör av IKT-tjänster enligt artikel 28.1 a i förordning (EU) 2022/2554, och för finansiella entiteter som avses i artikel 28.2 i den förordningen, i enlighet med den finansiella entitetens policy för användning av IKT-tjänster som stöder kritiska eller viktiga funktioner.

3. Behovet av att säkerställa och upprätthålla lämplig kompetens inom den finansiella entiteten när det gäller hantering av och säkerhet för den tjänst som används.

4. Tekniska och organisatoriska åtgärder för att minimera riskerna i samband med den infrastruktur som används av tredjepartsleverantören av IKT-tjänster för dess IKT-tjänster, med beaktande av ledande praxis och standarder enligt definitionen i artikel 2.1 i förordning (EU) nr 1025/2012.