Artikel 13 Hantering av nätverkssäkerhet

1. Segregering och segmentering av IKT-system och nätverk med beaktande av

   1. kritikaliteten hos eller vikten av den funktion som dessa IKT-system och nätverk stöder,

   2. den klassificering som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554,

   3. den allmänna riskprofilen för IKT-tillgångar som använder dessa IKT-system och nätverk.

2. Dokumentation av den finansiella entitetens samtliga nätverksanslutningar och dataflöden.

3. Användning av ett separat och särskilt nätverk för administration av IKT-tillgångar.

4. Identifiering och genomförande av kontroller för nätverksåtkomst för att förhindra och upptäcka anslutningar till den finansiella entitetens nätverk av en obehörig enhet eller ett obehörigt system, eller någon slutpunkt som inte uppfyller den finansiella entitetens säkerhetskrav.

5. Kryptering av nätverksanslutningar som går via företagsnätverk, offentliga nätverk, inhemska nätverk, tredje parts nätverk och trådlösa nätverk, för kommunikationsprotokoll som används, med beaktande av resultaten av den godkända dataklassificeringen, resultaten av IKT-riskbedömningen och den kryptering av nätverksanslutningar som avses i artikel 6.2.

6. Utformning av nätverk i linje med de IKT-säkerhetskrav som fastställts av den finansiella entiteten, med beaktande av ledande praxis för att säkerställa nätverkets konfidentialitet, integritet och tillgänglighet.

7. Säkring av nätverkstrafik mellan de interna nätverken och internet och andra externa anslutningar.

8. Identifiering av roller och ansvarsområden samt steg för specifikation, införande, godkännande, ändring och granskning av brandväggsregler och anslutningsfilter.

9. Granskning av nätverksarkitekturen och utformningen av nätverkssäkerheten en gång per år, och regelbundet för mikroföretagen finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR., för att identifiera potentiella sårbarheter.

10. Åtgärder för att vid behov tillfälligt isolera delnätverk samt nätverkskomponenter och nätverksenheter.

11. Införande av en baslinje för säker konfiguration av alla nätverkskomponenter och härdning av nätverket och nätverksenheter i linje med eventuella leverantörsanvisningar, i tillämpliga fall standarder enligt definitionen i artikel 2.1 i förordning (EU) nr 1025/2012 och ledande praxis.

12. Förfaranden för att begränsa, låsa och avsluta system- och fjärrsessioner efter en angiven period av inaktivitet.

13. När det gäller avtal om nätverkstjänster,

    1. identifiering och specificering av IKT-säkerhetsåtgärder och informationssäkerhetsåtgärder, servicenivåer och hanteringskrav för alla nätverkstjänster,

    2. huruvida dessa tjänster tillhandahålls av en koncernintern IKT-tjänteleverantör eller av tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

Vid tillämpning av led h ska finansiella entiteter regelbundet granska brandväggsregler och anslutningsfilter i enlighet med den klassificering som fastställts i enlighet med artikel 8.1 i förordning (EU) 2022/2554 och den allmänna riskprofilen för de berörda IKT-systemen. När det gäller IKT-system som stöder kritiska eller viktiga funktioner ska finansiella entiteter kontrollera att de befintliga brandväggsreglerna och anslutningsfiltren är tillräckliga minst var sjätte månad.