ESA根据DORA发布了第一套用于ICT和第三方风险管理和事件分类的规则
欧洲三大监管机构(EBA, EIOPA和ESMA - ESA)今天发布了《数字运营弹性法案》(DORA)下的第一套最终技术标准草案,旨在通过加强金融实体的信息和通信技术(ICT)以及第三方风险管理和事件报告框架来增强欧盟金融部门的数字运营弹性。
联合技术标准定稿包括:
·ICT风险管理框架和简化ICT风险管理框架的监管技术标准(RTS);
·关于信息通信技术相关事件分类标准的RTS;
·RTS指定支持ICT第三方服务提供商(TPPs)提供的关键或重要功能的ICT服务政策;和
·实施技术标准(ITS),建立信息登记模板。
关于ICT风险管理框架和简化ICT风险管理框架的RTS
关于ICT风险管理框架的RTS草案进一步确定了与ICT风险管理相关的要素,以协调工具、方法、流程和政策。这些元素是对DORA中确定的元素的补充。RTS确定了受简化制度约束、规模、风险、规模和复杂性较低的金融实体需要具备的关键要素,制定了简化的ICT风险管理框架。RTS确保在不同的金融部门之间协调ICT风险管理要求。
资讯及通讯科技相关事件的分类准则
这些RTS规定了重大信息通信技术相关事件的分类标准、重大事件的分类方法、每个分类标准的重要性阈值、确定重大网络威胁的标准和重要性阈值、主管当局评估事件与其他成员国主管当局相关性的标准,以及在这方面应共享的事件细节。即时交易系统确保整个金融部门对事件报告进行统一和简单的分类。
关于ICT TPP政策的RTS
这些RTS具体规定了金融实体在使用信通技术第三方服务提供商方面应具备的治理安排、风险管理和内部控制框架的各个部分。它们旨在确保金融实体在与此类ICT第三方服务提供商的合同安排的整个生命周期内保持对其运营风险、信息安全和业务连续性的控制。
在信息登记册上
最后,信息通信系统列出了金融实体在与信息通信技术第三方服务提供商的合同安排中需要维护和更新的模板。信息登记册将在金融实体的信息和通信技术第三方风险管理框架中发挥关键作用,并将由主管当局和ESA在监督金融实体遵守DORA的情况下使用,并指定将受DORA监督制度约束的关键信息和通信技术第三方服务提供商。
法律依据及背景
这些最终技术标准草案是根据DORA(法规(EU) 2022/2554)第15、16(3)、18(3)、28(9)和28(10)条制定的。关于技术标准草案的公众咨询于2023年6月19日至9月11日进行。ESA收到了来自市场参与者的420多份回应,其中包括ESA利益相关者团体的联合回应。公众咨询的反馈导致技术标准的具体变化,包括确保简化和精简要求,更大的比例性和解决特定部门的关切。
下一个步骤
技术标准的最终草案已提交给欧盟委员会,欧盟委员会将开始进行审查,目标是在未来几个月内采用首批标准。
请先 登录后发表评论 ~