ESA根據DORA發布了第壹套用于ICT和第三方風險管理和事件分類的規則
歐洲三大監管機構(EBA, EIOPA和ESMA - ESA)今天發布了《數字運營彈性法案》(DORA)下的第壹套最終技術標准草案,旨在通過加強金融實體的信息和通信技術(ICT)以及第三方風險管理和事件報告框架來增強歐盟金融部門的數字運營彈性。
聯合技術標准定稿包括:
·ICT風險管理框架和簡化ICT風險管理框架的監管技術標准(RTS);
·關于信息通信技術相關事件分類標准的RTS;
·RTS指定支持ICT第三方服務提供商(TPPs)提供的關鍵或重要功能的ICT服務政策;和
·實施技術標准(ITS),建立信息登記模板。
關于ICT風險管理框架和簡化ICT風險管理框架的RTS
關于ICT風險管理框架的RTS草案進壹步確定了與ICT風險管理相關的要素,以協調工具、方法、流程和政策。這些元素是對DORA中確定的元素的補充。RTS確定了受簡化制度約束、規模、風險、規模和複雜性較低的金融實體需要具備的關鍵要素,制定了簡化的ICT風險管理框架。RTS確保在不同的金融部門之間協調ICT風險管理要求。
資訊及通訊科技相關事件的分類准則
這些RTS規定了重大信息通信技術相關事件的分類標准、重大事件的分類方法、每個分類標准的重要性阈值、確定重大網絡威脅的標准和重要性阈值、主管當局評估事件與其他成員國主管當局相關性的標准,以及在這方面應共享的事件細節。即時交易系統確保整個金融部門對事件報告進行統壹和簡單的分類。
關于ICT TPP政策的RTS
這些RTS具體規定了金融實體在使用信通技術第三方服務提供商方面應具備的治理安排、風險管理和內部控制框架的各個部分。它們旨在確保金融實體在與此類ICT第三方服務提供商的合同安排的整個生命周期內保持對其運營風險、信息安全和業務連續性的控制。
在信息登記冊上
最後,信息通信系統列出了金融實體在與信息通信技術第三方服務提供商的合同安排中需要維護和更新的模板。信息登記冊將在金融實體的信息和通信技術第三方風險管理框架中發揮關鍵作用,並將由主管當局和ESA在監督金融實體遵守DORA的情況下使用,並指定將受DORA監督制度約束的關鍵信息和通信技術第三方服務提供商。
法律依據及背景
這些最終技術標准草案是根據DORA(法規(EU) 2022/2554)第15、16(3)、18(3)、28(9)和28(10)條制定的。關于技術標准草案的公衆咨詢于2023年6月19日至9月11日進行。ESA收到了來自市場參與者的420多份回應,其中包括ESA利益相關者團體的聯合回應。公衆咨詢的反饋導致技術標准的具體變化,包括確保簡化和精簡要求,更大的比例性和解決特定部門的關切。
下壹個步驟
技術標准的最終草案已提交給歐盟委員會,歐盟委員會將開始進行審查,目標是在未來幾個月內采用首批標准。
請先 登錄後發表評論 ~