De financiële entiteiten waarvoor de vereenvoudigde regeling geldt, introduceren en behouden een degelijk en gedocumenteerd kader voor ICT-risicobeheer. Dat kader omvat minstens de maatregelen voor het beheer van het ICT-risico, alsook de bescherming van de fysieke infrastructuur. Die maatregelen strekken ertoe de De gegevens moeten beschikbaar, toegankelijk en herstelbaar zijn. , Het beginsel van de authenticiteit van de gegevens garandeert dat de gegevens afkomstig zijn van gecontroleerde en legitieme bronnen, wat hun herkomst en geldigheid bevestigt. , De in een computersysteem opgeslagen, verwerkte en overgelegde (in transit) gegevens blijven correct, coherent en ongewijzigd. en Het beginsel van de vertrouwelijkheid van de gegevens strekt ertoe de gegevens te beschermen tegen elke ongeoorloofde toegang, ongeoorloofde verspreiding of ongeoorloofd gebruik, waardoor verzekerd is dat die gegevens enkel toegankelijk zijn voor geautoriseerde personen en systemen. van de gegevens in het netwerk en de ICT-assets te beschermen. De financiële entiteiten testen regelmatig de doeltreffendheid van die maatregelen.
Het kader voor ICT-risicobeheer wordt periodiek, bij ernstige ICT-gerelateerde incidenten en wanneer vereist door de FSMA geëvalueerd. De financiële entiteiten stellen een verslag op over de evaluatie van het kader en houden dat verslag ter beschikking van de FSMA.
Om het ICT-risico te beperken en te beheren, implementeren de financiële entiteiten de volgende categorieën van maatregelen:
i. Preventieve maatregelen (art. 16 DORA)
De preventieve maatregelen strekken ertoe te voorkomen dat de risico’s zich effectief voordoen. Ze omvatten minstens de volgende elementen:
- bescherming van de capaciteit, de prestatie, de betrouwbaarheid en de weerbaarheid van de ICT-systemen, -protocollen en -instrumenten;
- actualisering (updates) van de ICT-systemen, -protocollen en -instrumenten (waardoor de risico's voor cyberaanvallen kunnen worden beperkt);
- bewustmaking en opleiding van het personeel en de directie (in functie van de behoeften en het risicoprofiel van de entiteit);
- opsporing van de belangrijkste afhankelijkheden van derde aanbieders van ICT-diensten.
De financiële entiteiten testen geregeld hun ICT-systemen, -protocollen en -instrumenten en de actualiseringen (updates) ervan.
De bewustmakings- en opleidingsprogramma’s voor het personeel en de directie worden uitgewerkt in functie van de noden en het risicoprofiel van de entiteit.
ii. Detectiemaatregelen (art. 16 DORA)
De detectiemiddelen strekken ertoe de incidenten zo vlug mogelijk te identificeren. Ze omvatten minstens de volgende elementen:
- toezicht op de prestaties;
- opsporing van incidenten.
iii. Reactieve maatregelen (art. 16 DORA)
De reactieplannen (plannen voor ICT-bedrijfscontinuïteit en ICT-respons- en -herstelplannen) strekken ertoe de schade te beperken, met name voor de Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. van de entiteit. De financiële entiteiten moeten ze geregeld testen. Die plannen omvatten minstens de volgende elementen:
- bedrijfscontinuïteitsplannen en respons- en herstelplannen voor de Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. (inclusief back-up- en herstelmaatregelen);
- afhandeling van ICT-gerelateerde incidenten.
De financiële entiteiten beschikken over een proces voor het beheer van ICT-gerelateerde incidenten.
iv. Corrigerende maatregelen (art. 16 DORA)
De corrigerende acties strekken ertoe het kader voor ICT-risicobeheer te verbeteren en te actualiseren. Ze omvatten minstens de implementatie van de volgende elementen:
- conclusies van de tests van de ICT-systemen, -protocollen en -instrumenten en hun updates;
- conclusies van de tests van de bedrijfscontinuïteitsplannen en de respons- en herstelmaatregelen;
- conclusies van de analye van incidenten (inzonderheid van ernstige incidenten);
- conclusies van de herevaluatie van het kader voor het ICT-risicobeheer;
- FSMA-instructies.