1. Financial entities shall have in place capabilities and staff to gather information on vulnerabilities and cyber threats, ICT-related incidents, in particular cyber-attacks, and analyse the impact they are likely to have on their digital operational resilience.
2. Financial entities shall put in place post ICT-related incident reviews after a major ICT-related incident disrupts their core activities, analysing the causes of disruption and identifying required improvements to the ICT operations or within the ICT business continuity policy referred to in Article 11. Financial entities, other than microenterprises, shall, upon request, communicate to the competent authorities, the changes that were implemented following post ICT-related incident reviews as referred to in the first subparagraph. The post ICT-related incident reviews referred to in the first subparagraph shall determine whether the established procedures were followed and the actions taken were effective, including in relation to the following:
(a) the promptness in responding to security alerts and determining the impact of ICT-related incidents and their severity;
(b) the quality and speed of performing a forensic analysis, where deemed appropriate;
(c) the effectiveness of incident escalation within the financial entity;
(d) the effectiveness of internal and external communication.
3. Lessons derived from the digital operational resilience testing carried out in accordance with Articles 26 and 27 and from real life ICT-related incidents, in particular cyber-attacks, along with challenges faced upon the activation of ICT business continuity plans and ICT response and recovery plans, together with relevant information exchanged with counterparts and assessed during supervisory reviews, shall be duly incorporated on a continuous basis into the ICT risk assessment process. Those findings shall form the basis for appropriate reviews of relevant components of the ICT risk management framework referred to in Article 6(1). L 333/36 EN Official Journal of the European Union 27.12.2022
4. Financial entities shall monitor the effectiveness of the implementation of their digital operational resilience strategy set out in Article 6(8). They shall map the evolution of ICT risk over time, analyse the frequency, types, magnitude and evolution of ICT-related incidents, in particular cyber-attacks and their patterns, with a view to understanding the level of
ICT risk exposure, in particular in relation to critical or important functions, and enhance the cyber maturity and preparedness of the financial entity.
5. Senior ICT staff shall report at least yearly to the management body on the findings referred to in paragraph 3 and put forward recommendations.
6. Financial entities shall develop ICT security awareness programmes and digital operational resilience training as compulsory modules in their staff training schemes. Those programmes and training shall be applicable to all employees and to senior management staff, and shall have a level of complexity commensurate to the remit of their functions. Where appropriate, financial entities shall also include ICT third-party service providers in their relevant training schemes in accordance with Article 30(2), point (i).
7. Financial entities, other than microenterprises, shall monitor relevant technological developments on a continuous basis, also with a view to understanding the possible impact of the deployment of such new technologies on ICT security requirements and digital operational resilience. They shall keep up-to-date with the latest ICT risk management processes, in order to effectively combat current or new forms of cyber-attacks.
Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:
Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":
Organisaatio toteuttaa uhkatiedustelua keräämällä tietoa toimintaansa liittyvistä tietoturvauhkista ja niiltä suojautumisesta. Tavoitteena on kasvattaa tietoisuutta uhkaympäristöstä, jotta omaa suojaustasoa voidaan paremmin arvioida ja riittävät hallintakeinot toteuttaa.
Uhkatiedustelutiedon keräämisessä on huomioitava kaikki kolme tasoa:
Uhkatiedusteluun liittyvien periaatteiden tulisi sisältää:
Organisaation tulee seurata digitaalisen häiriönsietokykystrategiansa tehokkuutta. Tämän pitäisi sisältää ainakin:
Tämän pitäisi lisätä tietoisuutta kyberhyökkäykseen liittyville riskeille altistumisesta erityisesti tärkeiden ja kriittisten toimintojen ja kyberhyökkäyksiä vastaan varautumiseen liittyen.
Organisaatiolla tulee olla prosessi, jonka avulla voidaan analysoida ja oppia digitaalisen häriönsietokyvyn testauksen tuloksista, todellisista kyberturvallisuushäiriöistä ja jatkuvuussuunnitelmien aktivointikokemuksista. Asiaankuuluvia tietoja ja kokemuksia tulisi vaihtaa kumppanien kanssa.
Opitut opetukset tulisi sisällyttää kyberriskien hallintaprosessiin.
Organisaation ylimmällä johdolla tulisi olla vuosittain raportti vanhempien ICT-henkilöstön opetuksista sekä parannussuositukset.
Organisaatio toteuttaa uhkatiedustelua analysoimalla ja hyödyntämällä kerättyä tietoa toimintaansa liittyvistä tietoturvauhkista ja niiltä suojautumisesta.
Kerätyn uhkatiedustelutiedon analysoinnissa ja hyödyntämisessä on huomioitava seuraavat asiat:
Tietoturvahäiriöiden analysoinnista ja ratkaisemisesta saatua tietämystä olisi hyödynnettävä tulevien häiriöiden todennäköisyyden vähentämisessä ja niiden vaikutuksen pienentämisessä.
Organisaatio analysoi säännöllisesti tapahtuneita häiriöitä kokonaisuutena. Tässä prosessissa tutkitaan häiriöiden tyyppiä, määrää ja kustannuksia tavoitteena tunnistaa toistuvia ja vaikutuksiltaan merkittäviä häiriöitä.
Mikäli reagointia vaativia toistuvia häiriöitä tunnistetaan, niiden perusteella:
Mikäli häiriön ensisijaisen käsittelyn perusteella on vaikeaa tunnistaa tietoturvahäiriön lähde, suoritetaan häiriölle erillinen jälkianalyysi, jossa lähde pyritään tunnistamaan.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.
.png)
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
