Artikel 12 - Strategier och förfaranden för säkerhetskopiering och förfaranden och metoder för återskapande och återställning

Förkortad titel

Titeln i innehållsförteckningen för den här artikeln har förkortats på grund av det begränsade utrymmet. Titeln ovan är däremot den ursprungliga.

1. För att säkerställa att IKT-system och data kan återställas med minsta möjliga driftstopp, begränsade avbrott och förluster ska finansiella entiteter som en del i sin IKT-riskhanteringsram utarbeta och dokumentera

   1. strategier och förfaranden för säkerhetskopiering där de anger omfattningen av de data som ska säkerhetskopieras och minimifrekvensen för säkerhetskopieringen, baserat på informationens kritikalitet eller uppgifternas konfidentialitetsnivå,
   2. förfaranden och metoder för återskapande och återställning.

2. Finansiella entiteter ska skapa säkerhetskopieringssystem som kan aktiveras i enlighet med strategierna och förfarandena för säkerhetskopiering samt med förfarande och metoder för återskapande och återställning. Aktiveringen av säkerhetskopieringssystem får inte äventyra säkerheten i nätverks- och informationssystemen eller datans tillgänglighet, äkthet, integritet eller konfidentialitet. Testning av säkerhetskopieringsförfarandena och förfarande och metoder för återskapande och återställning och metoderna ska genomföras regelbundet.

3. När finansiella entiteter återställer säkerhetskopierade data med hjälp av egna system ska de använda IKT-system som är fysiskt och logiskt segregerade från det IKT-system som är källan. IKT-systemen ska ha ett säkert skydd mot obehörig åtkomst eller IKT-förvanskning och medge ett snabbt återupptagande av tjänster, med hjälp av säkerhetskopior av data och system efter behov.

   För centrala motparter ska återställningsplanerna göra det möjligt att återställa alla transaktioner så som de var vid tidpunkten för avbrottet, så att den centrala motpartens verksamhet är fortsatt säker och avvecklingen kan fullföljas vid fastställd tidpunkt.

   Leverantörer av datarapporteringstjänster ska dessutom ha tillräckliga resurser och ha anläggningar för säkerhetskopiering och återskapande, så att de alltid kan erbjuda och upprätthålla sina tjänster.

4. Andra finansiella entiteter än mikroföretag ska upprätthålla IKT-reservkapacitet med resurser, förmåga och funktioner som är adekvata för att säkerställa verksamhetens behov. Mikroföretag ska bedöma behovet av att upprätthålla sådan IKT-reservkapacitet med utgångspunkt i vilken riskprofil de har.

Mikroföretag

Mikroföretag undantas från kravet på att upprätthålla reservkapacitet. De ska dock bedöma sitt behov av reservkapacitet.

5. Värdepapperscentraler ska ha minst ett sekundärt driftsställe med adekvata resurser, kapacitet, funktioner och personalarrangemang för att säkerställa verksamhetens behov.

   Det sekundära driftsstället ska

   1. vara beläget på ett geografiskt avstånd från det primära driftsstället som gör det möjligt för det sekundära driftsstället att ha en åtskild riskprofil och hindrar det från att påverkas av den händelse som påverkar det primära driftsstället,
   2. kunna säkra driftskontinuiteten i kritiska eller viktiga funktioner som är identiska med det primära driftsstället eller tillhandahålla den servicenivå som är nödvändig för att säkerställa att den finansiella entiteten kan bedriva sin kritiska verksamhet inom ramen för återställningsmålen,
   3. vara omedelbart tillgängligt för den finansiella entitetens personal i syfte att säkra driftskontinuitet i dess kritiska eller viktiga funktioner om det primära driftsstället inte är tillgängligt.

6. När finansiella entiteter fastställer återställningstid och återställningspunktmål för varje funktion ska de ta hänsyn till huruvida det är en kritisk eller viktig funktion och den eventuella övergripande inverkan på marknadseffektiviteten. Tidsmålen ska säkerställa att de överenskomna servicenivåerna uppnås i extrema scenarier.

7. När finansiella entiteter återställer verksamheten efter en IKT-relaterad incident ska de göra nödvändiga kontroller, inbegripet flera kontroller och avstämningar, för att säkerställa att dataintegriteten håller högsta nivå. Dessa kontroller ska också utföras när data från externa berörda parter rekonstrueras för att säkerställa att alla data stämmer överens mellan systemen.