Det øverste ledelsesorgan i en operatør af finansiel digital infrastruktur skal fastlægge, godkende, føre tilsyn med og har ansvaret for gennemførelsen af operatørens ramme, jf. § 333 a, og foranstaltninger efter § 333 b og ordninger for it- og cyberrisikostyring. Det øverste ledelsesorgan skal godkende en strategi for digital operationel modstandsdygtighed, der gennemfører rammen, jf. § 333 a.
Stk. 2 Tilsynet med operatørens styring af sine it- og cyberrisici skal placeres i uafhængige kontrolfunktioner. Operatøren skal sikre adskillelse og uafhængighed mellem it- og cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Stk. 3 En operatør skal dokumentere og gennemgå rammen efter § 333 a mindst en gang om året, og når der forekommer større it- eller cyberhændelser, eller som følge af observationer efter test eller revisioner. Gennemgang efter 1. pkt. skal ligeledes foretages efter anmodning fra Finanstilsynet. Gennemgangen af rammen skal operatøren kunne dokumentere i en samlet rapport.
Stk. 4 En operatørs interne revision skal regelmæssigt revidere rammen for styring af it- og cyberrisici. Den interne revision skal have tilstrækkelig viden, faglig kompetence og ekspertise til udførelsen af denne opgave.
Stk. 5 En operatør skal oprette en funktion med henblik på overvågning af ordninger, der er indgået med tredjepartsudbydere om it-ydelser, eller udpege et direktionsmedlem som ansvarlig for tilsyn og dokumentation i forbindelse med eksponering for it- og cyberrisici fra tredjepartsudbydere.
Stk. 6 En operatør skal oprette en funktion til krisestyring, som skal håndtere større it- og cyberhændelser, der medfører aktivering af beredskabsplaner, forretningskontinuitetsplaner eller genopretningsplaner. Krisestyringsfunktionen har ansvaret for kommunikation efter 1. pkt.
Stk. 7 Medlemmer af det øverste ledelsesorgan af operatøren skal aktivt vedligeholde den viden og de færdigheder, der er nødvendige for at forstå og vurdere it- og cyberrisici og disses indvirkning på driften af operatøren, herunder ved regelmæssigt at følge undervisning, som er passende i forhold til de it- og cyberrisici, som operatøren og dens kunder er eksponeret for.