Europarlamentarci su usvojili jedinstvena pravila za upravljanje rizikom, izvješćivanje i testiranje otpornosti IT sektora.
Nova pravila prvenstveno trebala bi uskladiti i ojačati zahtjeve digitalne operativne otpornosti u cijelom sektoru financijskih usluga, kao što su zahtjevi za otkrivanje i oporavak od incidenata povezanih s informacijskom i komunikacijskom tehnologijom (IKT). Ti će zahtjevi biti povezani s mogućnostima izvješćivanja i digitalnog testiranja.
Pravila bi se primjenjivala na financijske subjekte regulirane na razini EU-a, kao što su banke, pružatelji usluga plaćanja, davatelji elektroničkog novca, investicijska društva, pružatelji usluga kripto-imovine i na pružatelje usluga treće strane.
Europarlamentarci traže da IKT okvir upravljanja rizikom u obzir uzme značajne razlike između financijskih subjekata u pogledu veličine, prirode, složenosti i profila rizika. Okvir bi također trebao uključivati strategije, politike, procedure, IKT protokole i alate za identificiranje, sprječavanje i zaštitu subjekata od zlonamjernih aktivnosti, kako bi mogli učinkovito reagirati i brzo se oporaviti.
Zastupnici Europskog parlamenta također su odlučili da zahtjevi za upravljanje rizikom ne bi trebali ometati inovacije u rješavanju pitanja digitalne operativne otpornosti.
"Ova će uredba dovesti Europsku uniju korak bliže tome da ima sveobuhvatan i dobro koordiniran skup pravila koja se bave IKT rizikom i izgradnjom kibernetičke otpornost za sve subjekte", izjavio je izvjestitelj Parlamenta Billy Kelleher (Renew).
Kako bi se postigao sustav izvješćivanja o incidentima povezanim s IKT-om sa što manjim administrativnim opterećenjem, zastupnici Europskog parlamenta složili su se da bi financijski subjekti trebali izvještavati svoja nadležna tijela na centraliziran i usklađen način.
To bi se moglo postići uspostavom jedinstvenog EU centra za velike incidente povezane s IT-om. Osim toga, kako bi procijenili koliko su spremni nositi se s rizikom, financijski subjekti trebali bi provoditi testove u kojima se utvrđuju slabosti, nedostaci ili praznine u njihovoj digitalnoj otpornosti.
Zastupnici Europskog parlamenta naglasili su da su IKT pružatelji usluga trećih strana ključni za funkcioniranje financijskog sektora i da ih stoga treba pravilno nadzirati na razini EU-a. Predložili su stvaranje zajedničkog nadzornog tijela koje će izravno nadzirati kritične pružatelje usluga trećih strana.
Jedno od europskih nadzornih tijela (ESA) trebalo bi biti imenovano kao glavni nadzornik za pružatelje usluga treće strane, koordinaciju svakodnevnog nadzora i istražnog rada. Osim toga, kritični IKT pružatelji usluga treće strane s poslovnim sjedištem u trećim zemljama morali bi imati poslovni nastan u EU kako bi mogli sklopiti ugovorne aranžmane s financijskim subjektima.
Konačno, zastupnici Europskog parlamenta žele poboljšati razmjenu informacija i suradnju između ESA-a, nacionalnih nadležnih tijela, NIS grupe, nacionalnih timova za reagiranje na incidente u računalnoj sigurnosti, glavnim nadzornikom i zajedničkim nadzornim tijelom. Time bi se u trebalo osigurati da su strategije kibernetičke sigurnosti koje su usvojile države članice dosljedne, a financijski nadzornici svjesni kibernetičkih incidenata i omogućuju proces učenja među sektorima, navodi se u priopćenju Europskog parlamenta.
