En operatør af finansiel digital infrastrukturs it-systemer, it-protokoller og it-værktøjer skal være pålidelige og med tilstrækkelig kapacitet til rettidigt at håndtere de nødvendige transaktioner m.v. i situationer med spidsbelastning, herunder uventet høje spidsbelastninger.
Stk. 2 En operatør skal løbende identificere alle kritiske forretningsfunktioner og it-aktiver, herunder it-aktiver, der understøtter kritiske eller vigtige forretningsfunktioner for operatørens kunder.
Stk. 3 En operatør skal identificere alle kritiske eller vigtige forretningsprocesser og tjenester, der er afhængige af eksterne leverandører, og dokumentere egne og kunders afhængigheder af ydelser fra underleverandører.
Stk. 4 En operatør skal overvåge og kontrollere it-systemernes og it-værktøjernes funktion og sikkerhed og minimere virkningerne af it- og cyberrisici ved at indføre passende sikkerhedsværktøjer, -politikker og -procedurer. Operatøren skal løbende identificere potentielle sårbarheder og single points of failure.
Stk. 5 En operatør skal opretholde et højt niveau af tilgængelighed, autenticitet, integritet og fortrolighed af data og udforme og gennemføre it-sikkerhedspolitikker, -procedurer og -protokoller og udforme it-værktøjer, der er egnet til at sikre modstandsdygtighed, stabilitet og tilgængelighed for it-systemer, der understøtter kritiske eller vigtige funktioner.
Stk. 6 En operatør skal indføre mekanismer til overvågning og sporing af anormale aktiviteter, trusler og hændelser i relevant infrastruktur og fastsætte tærskler for igangsættelse af indsats- og beredskabsforanstaltninger.
Stk. 7 En operatør skal have en politik for it-driftsstabilitet, som gennemføres ved dokumenterede beredskabsplaner, ordninger, procedurer m.v., med henblik på
-
1) at sikre, at operatørens og dennes kunders kritiske eller vigtige funktioner er stabile,
-
2) hurtigt, passende og effektivt at sætte ind over for og løse alle it-relaterede hændelser på en måde, der begrænser skaden og prioriterer genoptagelsen af aktiviteter og genopretningstiltag,
-
3) at planer, der omfatter inddæmningsforanstaltninger, der er passende i forhold til hændelserne, og som forhindrer yderligere skade, omgående aktiveres,
-
4) at anslå foreløbige virkninger, skader og tab og
-
5) at indføre kommunikations- og krisestyringstiltag, der sikrer, at ajourførte oplysninger videresendes til alt relevant internt personale og eksterne interessenter og indberettes til Finanstilsynet.
Stk. 8 En operatør skal have politikker og procedurer for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Operatøren skal endvidere have procedurer og metoder for gendannelse og genopretning efter materiel eller immateriel skade efter væsentlige hændelser.
Stk. 9 En operatør skal regelmæssigt teste sine foranstaltninger til beredskab, indsats, genopretning, sikkerhedskopiering og gendannelse.
Stk. 10 En operatør skal udvikle politikker for en systematisk læring på baggrund af den viden, som operatøren opnår ved opfølgning på sin ramme for risikostyring, trusselsovervågning, testresultater og it- og cyberhændelser. Den opnåede viden skal danne grundlag for en årlig rapportering til ledelsesorganet med anbefalinger til forbedringer i relevant omfang.
Stk. 11 En operatør skal have beredskab for krisekommunikation og ansvarlig offentliggørelse af oplysninger om større cyberhændelser eller væsentlige sårbarheder til berørte parter, herunder kunder, modparter og offentligheden.