1. Financial entities shall define, establish and implement an ICT-related incident management process to detect, manage and notify ICT-related incidents.
2. Financial entities shall record all ICT-related incidents and significant cyber threats. Financial entities shall establish appropriate procedures and processes to ensure a consistent and integrated monitoring, handling and follow-up of ICTrelated incidents, to ensure that root causes are identified, documented and addressed in order to prevent the occurrence of such incidents. 27.12.2022 EN Official Journal of the European Union L 333/39
3. The ICT-related incident management process referred to in paragraph 1 shall:
(a) put in place early warning indicators;
(b) establish procedures to identify, track, log, categorise and classify ICT-related incidents according to their priority and severity and according to the criticality of the services impacted, in accordance with the criteria set out in Article 18(1);
(c) assign roles and responsibilities that need to be activated for different ICT-related incident types and scenarios;
(d) set out plans for communication to staff, external stakeholders and media in accordance with Article 14 and for notification to clients, for internal escalation procedures, including ICT-related customer complaints, as well as for the provision of information to financial entities that act as counterparts, as appropriate;
(e) ensure that at least major ICT-related incidents are reported to relevant senior management and inform the management body of at least major ICT-related incidents, explaining the impact, response and additional controls to be established as a result of such ICT-related incidents;
(f) establish ICT-related incident response procedures to mitigate impacts and ensure that services become operational and secure in a timely manner.
Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.
Häiriöiden käsittelyprosessissa:
Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.
Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.
Johdon on määriteltävä hallintavastuut ja luotava menettelyt, joilla taataan tehokas ja johdonmukainen reagointi tietoturvahäiriöihin.
Johdon on varmistettava mm.:
Prosessin on varmistettava mm.:
Organisaation on otettava keinoja käyttöön, jolla häiriön vaikutus voidaan rajata mahdollisimman pieneen osaan. Keinot tulisivat vastata tehtyjä suunnitelmia ja sisältää häiriön:
Organisaation täytyy määritellä raja, jolloin tietoturvatapahtumasta tulee tietoturvahäiriö.
Organisaatiolla on määritellyt seurattavat mittarit, jotka liittyvät tietoturvahäiriöiden hallintaan. Parhaimmillaan hyvät mittarit auttavat havaitsemaan heikkouksia häiriöiden tunnistamiseen liittyen.
Mahdollisia mittareita ovat mm.:
Häiriötilanteessa viestintää sisäisten ja ulkoisten sidosryhmien kanssa täytyy toteuttaa häiriöön vastaamissuunnitelman mukaisesti.
Organisaation on määriteltävä toimintatavat, joiden avulla havaitut tietoturvatapahtumat pystytään selkeästi lajittelemaan. Lajittelun avulla on pystyttäjä priorisoimaan tapahtumat vakavuuden ja mahdollisen vaikutuksen mukaan.
Lajittelun perusteella on tarkoitus tehostaa tietoturvatapahtumien tutkimista ja arviointia, jotta esimerkiksi häiriöön vastaaminen saadaan tarvittaessa käyntiin nopeasti.
Toimintatavat voivat koostua yleisistä prosesseista, teknisistä työkaluista tai koneoppimista hyödyntävistä algoritmeistä. Toimintatapoja on tarkasteltava säännöllisesti, jotta vahvistetaan niiden toimivuus ja sopivuus käyttötarpeisiin.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
