DORA 2022/2554 BG

BG 2022/2554 BG Art. 3 . Output generated live

expand index :

ГЛАВА I
Общи разпоредби

whereas :

definitions:

на

>CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

placeholder="art. num." title="art. number"> value="" placeholder="exact search" title="exact search"> class="material-icons white-text">search by software developed by IusOnDemand srl auto;"> Член 1 Предмет Член 2 Обхват Член 3 Определения
ГЛАВА II
Управление на риска в областта на ИКТ

Раздел I
Член 4 Принцип на пропорционалност
Раздел II
Член 5 Управление и организация Член 6 Рамка за управление на риска в областта на ИКТ Член 7 Системи и протоколи на ИКТ и основани на ИКТ инструменти Член 8 Идентифициране Член 9 Защита и предотвратяване Член 10 Откриване Член 11 Реакция и възстановяване Член 12 Политики и процедури за съхраняване на резервни копия, процедури и методи за възстановяване на информацията Член 13 Обучение и развитие Член 14 Комуникация Член 15 Допълнително хармонизиране на инструментите, методите, процесите и политиките за управление на риска в областта на ИКТ
ГЛАВА III
Инциденти с ИКТ — управление, класифициране и докладване
Член 16 Опростена рамка за управление на риска в областта на ИКТ Член 17 Процес за управление на инцидентите с ИКТ Член 18 Класифициране на инцидентите с ИКТ и киберзаплахите Член 19 Докладване за съществените инциденти с ИКТ и уведомяване на доброволен принцип за значителни киберзаплахи Член 20 Хармонизиране на съдържанието и на образците за докладване Член 21 Централизиране на докладването за съществени инциденти с ИКТ Член 22 Обратна информация от надзорните органи
ГЛАВА IV
Тестване на оперативната устойчивост на цифровите технологии
Член 23 Операционни или свързани със сигурността инциденти, свързани с плащания, засягащи кредитни институции, платежни институции, доставчици на услуги по предоставяне на информация за сметка и институции за електронни пари Член 24 Общи изисквания за тестването на оперативната устойчивост на цифровите технологии Член 25 Тестване на инструментите и системите на ИКТ Член 26 Обстойно тестване на инструментите, системите и процесите на ИКТ чрез тестване за проникване
ГЛАВА V
Управление на риска в областта на ИКТ, пораждан от трети страни

Раздел I
Основни принципи за добро управление на риска в областта на ИКТ, пораждан от трети страни
Член 27 Изисквания към лицата, провеждащи тестване за проникване Член 28 Общи принципи Член 29 Предварителна оценка на риска от концентрация на ИКТ на равнището на субектите
Раздел II
Надзорна рамка за трети страни критични доставчици на услуги в областта на ИКТ
Член 30 Основни договорни клаузи Член 31 Определяне на третите страни критични доставчици на услуги в областта на ИКТ Член 32 Структура на надзорната рамка Член 33 Задачи на водещия надзорник Член 34 Оперативна координация между водещите надзорници Член 35 Правомощия на водещия надзорник Член 36 Упражняване на правомощията на водещия надзорник извън Съюза Член 37 Искане за информация Член 38 Общи разследвания Член 39 Проверки Член 40 Текущ надзор Член 41 Хармонизиране на условията за извършване на надзорните дейности Член 42 Последващи действия на компетентните органи Член 43 Такси за упражняване на надзор
ГЛАВА VI
Споразумения за обмен на информация
Член 44 Международно сътрудничество
ГЛАВА VII
Компетентни органи
Член 45 Споразумения за обмен на информация и разузнавателни сведения за киберзаплахи Член 46 Компетентни органи Член 47 Сътрудничество със структурите и органите, създадени с Директива (ЕС) 2022/2555 Член 48 Сътрудничество между органите Член 49 Симулации, комуникация и сътрудничество сред финансовите сектори Член 50 Административни санкции и коригиращи мерки Член 51 Упражняване на правомощията за налагане на административни санкции и коригиращи мерки Член 52 Наказателноправни санкции Член 53 Задължения за уведомяване Член 54 Публикуване на административните санкции Член 55 Професионална тайна
ГЛАВА VIII
Делегирани актове
Член 56 Защита на данните
ГЛАВА IX
Преходни и заключителни разпоредби

Раздел I
Член 57 Упражняване на делегирането
Раздел II
Изменения
Член 58 Клауза за преглед Член 59 Изменения на Регламент (ЕО) № 1060/2009 Член 60 Изменения на Регламент (ЕС) № 648/2012 Член 61 Изменения на Регламент (ЕС) № 909/2014 Член 62 Изменения на Регламент (ЕС) № 600/2014 Член 63 Изменение на Регламент (ЕС) 2016/1011 Член 64 Влизане в сила и прилагане onClick='checkMe()' onSelect='checkMe()' onmousedown ='checkMe()'> onClick='checkMe()' onSelect='checkMe()' onmousedown ='checkMe()'> auto;"> dden;background-color:#eeeeee;margin:0px 5px;padding:0 0 0 5px;} class=tagvalue>140 and the number of total unique words without stopwords is: 593 onmousedown ='checkMe()'> t">Член 3

Определения

За целите на настоящия регламент се прилагат следните определения:

„оперативна устойчивост на цифровите технологии“ означава способността на финансов субект да изгражда, осигурява и преглежда своята оперативна цялост и надеждност, като осигурява пряко или непряко — чрез ползване на услуги, предоставяни от трети страни доставчици на услуги в областта на ИКТ, пълния набор от свързан с ИКТ капацитет, необходим за сигурността на използваните от него мрежови и информационни системи, и който поддържа непрекъснатото предоставяне на финансови услуги и тяхното качество, включително при смущения;

2)	„мрежова и информационна система“ означава мрежова и информационна система съгласно определението в член 6, точка 1 от Директива (ЕС) 2022/2555;

„наследена система на ИКТ“ означава система на ИКТ, която е достигнала края на жизнения си цикъл, която не е подходяща за модернизиране или поправка поради технологични или търговски причини или вече не се поддържа от своя доставчик или от трета страна доставчик на услуги в областта на ИКТ, но която все още се използва и поддържа функциите на финансовия субект;

4)	„сигурност на мрежовите и информационните системи“ означава сигурност на мрежовите и информационните системи съгласно определението в член 6, точка 2 от Директива (ЕС) 2022/2555;

„риск в областта на ИКТ“ означава всяко установимо при обичайни условия обстоятелство във връзка с използването на мрежови и информационни системи, което, ако се реализира, може да застраши сигурността на мрежовите и информационните системи, на зависим от технологиите инструмент или процес, на операциите или процесите, или на предоставянето на услуги, като предизвика неблагоприятни последици в цифровата или физическата среда;

6)	„информационен актив“ означава материална или нематериална съвкупност от информация, която си струва да се защитава;

7)	„актив на ИКТ“ означава софтуерен или хардуерен актив в мрежовите и информационните системи, използвани от финансовия субект;

„инцидент с ИКТ“ означава единично събитие или поредица от свързани събития, които не са планирани от финансовия субект, застрашават сигурността на мрежовите и информационните системи и имат неблагоприятно въздействие върху наличността, автентичността, цялостността или поверителността на данните, или върху предоставяните от финансовия субект услуги;

„операционен или свързан със сигурността инцидент, свързан с плащания“ означава единично събитие или поредица от свързани събития, които не са планирани от финансовите субекти, посочени в член 2, параграф 1, букви а)—г), независимо дали са свързани с ИКТ или не, и имат неблагоприятно въздействие върху наличността, автентичността, цялостността или поверителността на свързаните с плащания данни, или върху свързаните с плащания услуги, предоставяни от финансовия субект;

10)	„съществен инцидент с ИКТ“ означава инцидент с ИКТ, който има силно неблагоприятно въздействие върху мрежовите и информационните системи, поддържащи критични или важни функции на финансовия субект;

11)	„съществен операционен или свързан със сигурността инцидент, свързан с плащания“ означава операционен или свързан със сигурността инцидент, свързан с плащания, който има силно неблагоприятно въздействие върху предоставяните услуги, свързани с плащания;

12)	„киберзаплаха“ означава киберзаплаха съгласно определението в член 2, точка 8 от Регламент (ЕС) 2019/881;

13)	„значителна киберзаплаха“ означава киберзаплаха, чиито технически характеристики показват, че би могла да доведе до съществен инцидент с ИКТ или до съществен операционен или свързан със сигурността инцидент, свързан с плащания;

14)	„кибератака“ означава инцидент с ИКТ в резултат на злонамерен акт, причинен от опит на източник на заплаха с цел унищожаване, разкриване, промяна, деактивиране, открадване или получаване на непозволен достъп или непозволено използване на актив;

15)

„разузнавателни сведения за заплахи“ означава информация, която е обобщена, обработена, анализирана, разтълкувана или обогатена, за да се осигури необходимият контекст с оглед на вземането на решения и за да се създадат условия за адекватно и достатъчно разбиране с оглед ограничаването на последствията от инцидент с ИКТ или от киберзаплаха, включително техническите белези на дадена кибератака, отговорните за нея лица и техният начин на действие и мотивация;

16)	„уязвимо място“ означава слабост, тенденция или недостатък на актив, система, процес или контролна функция, които могат да бъдат използвани;

17)

„тестване за проникване (TLPT)“ означава симулиране на тактиката, техниките и процедурите на реални източници на заплаха, за които се счита, че представляват истинска киберзаплаха; тази симулация представлява контролиран, специално разработен и опиращ се на разузнавателни сведения (червен екип) тест на критичните оперативни производствени системи на финансовия субект;

18)

„риск в областта на ИКТ, пораждан от трета страна“ означава риск в областта на ИКТ, който може да възникне за финансов субект във връзка с използваните от него услуги в областта на ИКТ, предоставяни от трета страна доставчик на такива услуги или от нейни поддоставчици, включително чрез споразумения за възлагане на дейности на външни изпълнители;

19)	„трета страна доставчик на услуги в областта на ИКТ“ означава предприятие, което предоставя услуги в областта на ИКТ;

20)

„вътрешногрупов доставчик на услуги в областта на ИКТ“ означава предприятие, което е част от финансова група и предоставя предимно услуги в областта на ИКТ на финансови субекти от същата група или на финансови субекти, които са част от една и съща институционална защитна схема, включително на техните предприятия майки, дъщерни предприятия, клонове или други субекти, намиращи се в обща собственост или под общ контрол;

21)

„услуги в областта на ИКТ“ означава цифрови услуги и услуги за данни, предоставяни непрекъснато чрез системите на ИКТ на един или повече вътрешни или външни ползватели, включително хардуер като услуга и хардуерни услуги, което включва техническа поддръжка чрез актуализации на софтуер или фърмуер от доставчика на хардуер и изключва традиционните аналогови телефонни услуги;

22)

„критична или важна функция“ означава функция, чието смущение би намалило съществено финансовите резултати на даден финансов субект, или стабилността или непрекъснатостта на неговите услуги и дейности, или функция, чието прекъсване, неизправност или срив би намалило съществено възможността на даден финансов субект да продължи да изпълнява условията и задълженията, свързани с неговия лиценз или останалите си задължения съгласно приложимото право в областта на финансовите услуги;

23)	„трета страна критичен доставчик на услуги в областта на ИКТ“ означава трета страна, която е доставчик на услуги в областта на ИКТ, определен като имащ критично значение в съответствие с член 31;

24)	„трета страна доставчик на услуги в областта на ИКТ, установен в трета държава“ означава трета страна доставчик на услуги в областта на ИКТ, който е установено в трета държава юридическо лице, което е сключило договорно споразумение с финансов субект за предоставяне на услуги в областта на ИКТ;

25)	„дъщерно предприятие“ означава дъщерно предприятие по смисъла на член 2, точка 10 и член 22 от Директива 2013/34/ЕС;

26)	„група“ означава група съгласно определението в член 2, точка 11 от Директива 2013/34/ЕС;

27)	„предприятие майка“ означава предприятие майка по смисъла на член 2, точка 9 и член 22 от Директива 2013/34/ЕС;

28)

„поддоставчик на ИКТ, установен в трета държава“ означава поддоставчик на ИКТ, който е установено в трета държава юридическо лице, което е сключило договорно споразумение с трета страна доставчик на услуги в областта на ИКТ или с трета страна доставчик на услуги в областта на ИКТ, установен в трета държава;

29)

„риск от концентрация при ИКТ“ означава експозиция към дадена трета страна критичен доставчик на услуги в областта на ИКТ или към множество свързани такива доставчици, която поражда известна степен на зависимост от такива доставчици, така че ако съответният доставчик не бъде достъпен, престане да предоставя услугите си или понесе друг вид неизправност, това потенциално може да застраши способността на финансовия субект да изпълнява критични или важни функции или да му причини други видове неблагоприятни последици, включително големи загуби, или да застраши финансовата стабилност на Съюза като цяло;

30)

„ръководен орган“ означава ръководен орган съгласно определението в член 4, параграф 1, точка 36 от Директива 2014/65/ЕС, член 3, параграф 1, точка 7 от Директива 2013/36/ЕС, член 2, параграф 1, буква т) от Директива 2009/65/ЕО на Европейския парламент и на Съвета (31), член 2, параграф 1, точка 45 от Регламент (ЕС) № 909/2014, член 3, параграф 1, точка 20 от Регламент (ЕС) 2016/1011 и относимата разпоредба от Регламента относно пазарите на криптоактиви, или еквивалентните лица, които действително управляват субекта или изпълняват ключови функции в съответствие с приложимото право на Съюза или национално право;

31)	„кредитна институция“ означава кредитна институция съгласно определението в член 4, параграф 1, точка 1 от Регламент (ЕС) № 575/2013 на Европейския парламент и на Съвета (32);

32)	„институция, освободена съгласно Директива 2013/36/ЕС“ означава субект, посочен в член 2, параграф 5, точки 4—23 от Директива 2013/36/ЕС;

33)	„инвестиционен посредник“ означава инвестиционен посредник съгласно определението в член 4, параграф 1, точка 1 от Директива 2014/65/ЕС;

34)	„малък и невзаимосвързан инвестиционен посредник“ означава инвестиционен посредник, който отговаря на условията по член 12, параграф 1 от Регламент (ЕС) 2019/2033 на Европейския парламент и на Съвета (33);

35)	„платежна институция“ означава платежна институция съгласно определението в член 4, точка 4 от Директива (ЕС) 2015/2366;

36)	„платежна институция, освободена съгласно Директива (ЕС) 2015/2366“ означава платежна институция, освободена съгласно член 32, параграф 1 от Директива (ЕС) 2015/2366;

37)	„доставчик на услуги по предоставяне на информация за сметка“ означава доставчик на услуги по предоставяне на информация за сметка, както е посочено в член 33, параграф 1 от Директива (ЕС) 2015/2366;

38)	„институция за електронни пари“ означава институция за електронни пари съгласно определението в член 2, точка 1 от Директива 2009/110/ЕО на Европейския парламент и на Съвета;

39)	„институция за електронни пари, освободена съгласно Директива 2009/110/ЕО“ означава институция за електронни пари, ползваща се от освобождаване, както е посочено в член 9, параграф 1 от Директива 2009/110/ЕО;

40)	„централен контрагент“ означава централен контрагент съгласно определението в член 2, точка 1 от Регламент (ЕС) № 648/2012;

41)	„регистър на трансакции“ означава регистър на трансакции съгласно определението в член 2, точка 2 от Регламент (ЕС) № 648/2012;

42)	„централен депозитар на ценни книжа“ означава централен депозитар на ценни книжа съгласно определението в член 2, параграф 1, точка 1 от Регламент (ЕС) № 909/2014;

43)	„място на търговия“ означава място на търговия съгласно определението в член 4, параграф 1, точка 24 от Директива 2014/65/ЕС;

44)	„лице, управляващо алтернативни инвестиционни фондове“ означава лице, управляващо алтернативни инвестиционни фондове съгласно определението в член 4, параграф 1, буква б) от Директива 2011/61/ЕС;

45)	„управляващо дружество“ означава управляващо дружество съгласно определението в член 2, параграф 1, буква б) от Директива 2009/65/ЕО;

46)	„доставчик на услуги за докладване на данни“ означава доставчик на услуги за докладване на данни по смисъла на Регламент (ЕС) № 600/2014, както е посочен в член 2, параграф 1, точки 34—36;

47)	„застрахователно предприятие“ означава застрахователно предприятие съгласно определението в член 13, точка 1 от Директива 2009/138/ЕО;

48)	„презастрахователно предприятие“ означава презастрахователно предприятие съгласно определението в член 13, точка 4 от Директива 2009/138/ЕО;

49)	„застрахователен посредник“ означава застрахователен посредник съгласно определението в член 2, параграф 1, точка 3 от Директива (ЕС) 2016/97 на Европейския парламент и на Съвета (34);

50)	„посредник, предлагащ застрахователни продукти като допълнителна дейност“ означава посредник, предлагащ застрахователни продукти като допълнителна дейност съгласно определението в член 2, параграф 1, точка 4 от Директива (ЕС) 2016/97;

51)	„презастрахователен посредник“ означава презастрахователен посредник съгласно определението в член 2, параграф 1, точка 5 от Директива (ЕС) 2016/97;

52)	„институция за професионално пенсионно осигуряване“ означава институция за професионално пенсионно осигуряване съгласно определението в член 6, точка 1 от Директива (ЕС) 2016/2341;

53)	„малка институция за професионално пенсионно осигуряване“ означава институция за професионално пенсионно осигуряване, която управлява пенсионни схеми, в които участват общо по-малко от 100 членове;

54)	„агенция за кредитен рейтинг“ означава агенция за кредитен рейтинг съгласно определението в член 3, параграф 1, буква б) от Регламент (ЕО) № 1060/2009;

55)	„доставчик на услуги за криптоактиви“ означава доставчик на услуги за криптоактиви съгласно определението в относимата разпоредба от Регламента относно пазарите на криптоактиви;

56)	„емитент на токени, обезпечени с активи“ означава емитент на токени, обезпечени с активи съгласно определението в относимата разпоредба от Регламента относно пазарите на криптоактиви;

57)	„администратор на критични бенчмаркове“ означава администратор на критични бенчмаркове съгласно определението в член 3, параграф 1, точка 25 от Регламент (ЕС) 2016/1011;

58)	„доставчик на услуги за колективно финансиране“ означава доставчик на услуги за колективно финансиране съгласно определението в член 2, параграф 1, буква д) от Регламент (ЕС) 2020/1503 на Европейския парламент и на Съвета (35);

59)	„регистър на секюритизации“ означава регистър на секюритизации съгласно определението в член 2, точка 23 от Регламент (ЕС) 2017/2402 на Европейския парламент и на Съвета (36);

60)	„микропредприятие“ означава финансов субект, различен от място на търговия, централен контрагент, регистър на трансакции или централен депозитар на ценни книжа, който има под 10 служители и чийто годишен оборот и/или общо салдо по годишния счетоводен баланс не надхвърля 2 милиона евро;

61)	„водещ надзорник“ означава Европейският надзорен орган, назначен в съответствие с член 31, параграф 1, буква б) от настоящия регламент;

62)	„Съвместен комитет“ означава комитетът, посочен в член 54 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010;

63)	„малко предприятие“ означава финансов субект, който има 10 или повече служители, но по-малко от 50 служители и чийто годишен оборот и/или общо салдо по годишния счетоводен баланс надхвърля 2 милиона евро, но не надхвърля 10 милиона евро;

64)	„средно предприятие“ означава финансов субект, който не е малко предприятие и има под 250 служители и чийто годишен оборот не надхвърля 50 милиона евро и/или чието общо салдо по годишния счетоводен баланс не надхвърля 43 милиона евро;

65)	„публичен орган“ означава всеки държавен орган или друг орган на публичната администрация, включително националните централни банки.

whereas

keyboard_tab DORA 2022/2554 BG

DORA 2022/2554 BG