Никосия, Кипр. Кипрская комиссия по ценным бумагам и биржам (CySEC) выпустила новое руководство, направленное на повышение эффективности управления регулируемыми финансовыми фирмами на Кипре цифровыми рисками и сбоями, связанными с технологиями. В циркуляре освещаются отчеты об инцидентах, оперативные материалы, управление ИКТ и ожидания аудиторов.
Сфера действия циркуляра
CySEC заявила, что руководство распространяется на ряд регулируемых организаций, включая инвестиционные фирмы, торговые площадки, управляющих фондами и поставщиков криптоактивов, и направлено на повышение устойчивости к цифровым технологиям во всем финансовом секторе.
Отчетность об инцидентах, связанных с технологиями
CySEC заявила, что выявила слабые места в том, как компании сообщают об инцидентах, связанных с технологиями, включая серьезные инциденты, о которых не сообщалось, и другие, которые были неправильно классифицированы. Регулирующий орган заявил, что компании должны обеспечивать оперативное выявление серьезных инцидентов в сфере ИКТ и сообщать о них, предупреждая, что неточная отчетность подрывает надзор и управление рисками.
Представление оперативной информации
Комиссия напомнила регулируемым организациям, что электронные таблицы больше не принимаются для предоставления ключевой оперативной информации и что заявки должны подаваться через онлайн-системы отчетности регулятора. CySEC заявила, что эта информация должна предоставляться ежегодно до 28 февраля на основе данных по состоянию на 31 декабря предыдущего года.
Система управления рисками в области ИКТ и надзора за ними
CySEC заявила, что компаниям следует поддерживать четкую и хорошо документированную систему управления рисками в области ИКТ для управления рисками, связанными с технологиями и киберугрозами, на постоянной основе. Регулирующий орган заявил, что ответственность за контроль рисков в области ИКТ должна быть возложена на специальную и независимую контрольную службу, чтобы избежать конфликта интересов и поддерживать систему внутренних сдержек и противовесов.
Анализ и постоянное совершенствование
CySEC заявила, что компании должны пересматривать свою систему управления рисками в области ИКТ не реже одного раза в год, а также после серьезных инцидентов или по итогам внутренних проверок, и постоянно совершенствовать ее на основе извлеченных уроков.
Ожидания аудиторов
CySEC заявила, что компании должны обеспечить регулярный аудит своих ИКТ-систем и средств контроля независимыми аудиторами соответствующей квалификации, при этом глубина проверок должна отражать профиль рисков каждой компании.
Как ваша фирма скорректирует свои отчеты об инцидентах в сфере ИКТ и ежегодные представления, чтобы соответствовать ожиданиям CySEC?
