Кому застосовується

• Банки, страхові компанії, інвестиційні фірми, торговельні майданчики, платіжні установи, установи електронних грошей тощо.
• Постачальники послуг із криптоактивами (CASP) за MiCA та емітенти токенів, прив’язаних до активів (ART).
• Критично важливі ІКТ-провайдери під наглядом органів ЄС.

Ключові визначення

“ІКТ” охоплює хмарні сервіси, програмне забезпечення, центри обробки даних, мережі та засоби кібербезпеки, що використовуються для надання фінансових послуг.

Управління ІКТ-ризиками

• Відповідальність керівництва та чіткий розподіл ролей.
• Контролі: реєстр активів, оновлення/патчі, безпечні конфігурації, резервне копіювання та відновлення.
• Плани безперервності бізнесу та відновлення (BCP/DRP).

Звітність про інциденти

• Класифікація та повідомлення нагляду про значні ІКТ-інциденти у встановлені строки.
• Ведення журналів і післяінцидентний аналіз для запобігання повторенню.

Тестування та навчання

• Регулярні оцінки, керування вразливостями та загрозоорієнтоване пентестування (TLPT) для суттєвих організацій.
• Навчальні та практичні вправи для перевірки відновлення й комунікацій.

Нагляд за третіми сторонами

• Договори з правами аудиту, вимогами до розміщення даних, метриками стійкості та планами виходу.
• Оцінка концентрації ризиків і посилений нагляд за критичними провайдерами.

Краща безперервність сервісу

Вищі цілі доступності, резервування та швидше відновлення після інцидентів.

Прозоріші повідомлення

У разі значних ІКТ-інцидентів очікуйте своєчасні повідомлення та підсумки після інциденту.

Посилена безпека акаунтів

MFA, захист сесій і моніторинг шахрайства допоможуть запобігати компрометації.

Безпечніший ланцюг постачальників

Хмарні та інші ІКТ-постачальники проходять ретельніший аудит і нагляд ЄС.