Artikel 23 Upptäckt av onormal verksamhet och kriterier för upptäckt och hantering av IKT-relaterade incidenter

Finansiella entiteter ska fastställa tydliga roller och ansvarsområden för att på ett ändamålsenligt sätt upptäcka och hantera IKT-relaterade incidenter och onormal verksamhet.

1. samla in, övervaka och analysera

   1. interna och externa faktorer, inklusive åtminstone de loggar som samlats in i enlighet med artikel 12 i denna förordning, information från affärsfunktioner och IKT-funktioner samt eventuella problem som rapporterats av användare av den finansiella entiteten,

   2. potentiella interna och externa cyberhotett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881., med beaktande av scenarier som vanligtvis används av fientliga aktörer och scenarier baserade på underrättelser om hotinformation som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv.,

   3. underrättelser från en tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster. till den finansiella entiteten om IKT-relaterade incidenter som upptäckts i IKT-system och IKT-nätverk hos tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och som kan beröra den finansiella entiteten,

2. identifiera onormal verksamhet och onormalt beteende, och införa verktyg som utfärdar varningar för onormal verksamhet och onormalt beteende, åtminstone för IKT-tillgångar och informationstillgångar som stöder kritiska eller viktiga funktioner,

3. prioritera de varningar som avses i led b för att möjliggöra hantering av de upptäckta IKT-relaterade incidenterna inom den förväntade åtgärdstiden, enligt vad som anges av finansiella entiteter, både under och utanför arbetstid,

4. registrera, analysera och utvärdera all relevant information om all onormal verksamhet och allt onormalt beteende automatiskt eller manuellt.

Vid tillämpning av led b ska de verktyg som avses i det ledet innehålla verktyg som tillhandahåller automatiska varningar baserade på fördefinierade regler för att identifiera avvikelser som påverkar datakällornas eller logginsamlingens fullständighet och integritet.

Finansiella entiteter ska skydda all registrering av onormal verksamhet mot manipulering och obehörig åtkomst i vila, under överföring och, i relevanta fall, i bruk.

1. identifiering av datum och tidpunkt för uppkomst av den onormala verksamheten,

2. identifiering av datum och tidpunkt för upptäckt av den onormala verksamheten,

3. identifiering av typen av onormal verksamhet.

1. Indikationer på att skadlig verksamhet kan ha utförts i ett IKT-system eller IKT-nätverk, eller att ett sådant IKT-system eller IKT-nätverk kan ha komprometterats.

2. Dataförluster som upptäcks när det gäller uppgifters tillgänglighet, äkthet, integritet och konfidentialitet.

3. Upptäckt negativ påverkan på den finansiella entitetens transaktioner och verksamhet.

4. IKT-systems och IKT-nätverks otillgänglighet.

Vid tillämpning av punkt 5 ska finansiella entiteter också beakta hur kritiska de berörda tjänsterna är.