Киберсигурност за сектор Банки и кредитиране

BaFin IT Requirements for Capital Management Companies

Санкции: Regulatory measures by BaFin including license revocation

KAIT (BaFin Rundschreiben 11/2019)

Kapitalverwaltungsgesellschaften (KVG). Authority: BaFin.

Орган: BaFin

Краен срок: 1 октомври 2019 г.

Banco de Portugal Notice 1/2021 - ICT Risk Management

Санкции: Regulatory sanctions by Banco de Portugal

Aviso BdP n. 1/2021

Instituicoes de credito e empresas de investimento. Authority: Banco de Portugal.

Орган: Banco de Portugal

Краен срок: 1 януари 2021 г.

Bank of Greece IT Risk Management Framework

Санкции: Regulatory sanctions by Bank of Greece

BoG Governor Act 2577/2006 (as amended)

Pistotika idrymata kai epicheiriseis ependyseon. Authority: Trapeza tis Ellados (Bank of Greece).

Орган: Trapeza tis Ellados (Bank of Greece)

Краен срок: 9 март 2006 г.

Bank of Lithuania Resolution on ICT Management Requirements

Санкции: Regulatory sanctions by Bank of Lithuania

LB Nutarimas Nr. 03-18 (2020)

Kredito istaigas, draudimo imones, mokejimo istaigas. Authority: Lietuvos bankas (Bank of Lithuania).

Орган: Lietuvos bankas (Bank of Lithuania)

Краен срок: 1 юни 2020 г.

Bank of Slovenia Decision on Information Security Management

Санкции: Regulatory sanctions by Bank of Slovenia

Sklep BS (Ur. l. RS 73/2018)

Kreditne institucije in poddruznice tujih bank. Authority: Banka Slovenije.

Орган: Banka Slovenije

Краен срок: 1 декември 2018 г.

Bank of Spain Circular 2/2023 on Technology Risk Supervision

Санкции: Regulatory sanctions by Banco de Espana

Circular 2/2023 BdE

Entidades de credito y proveedores de servicios de pago. Authority: Banco de Espana.

Орган: Banco de Espana

Краен срок: 30 юни 2023 г.

Bankaufsichtliche Anforderungen an die IT

BAIT

Banks and financial service providers. Authority: BaFin.

Краен срок: 6 ноември 2017 г.

Орган: BaFin

Bankitalia 285 - Disposizioni di Vigilanza Banche (Titolo IV)

Санкции: Прилагат се национални санкции

BANKITALIA285

Национални задължения за киберсигурност и съответствие за организациите, попадащи в обхвата на този регламент.

Орган: Banca d'Italia

Краен срок: 17 декември 2013 г.

Bankwesengesetz - IT security provisions

BWG

Banks, credit institutions. Authority: FMA / OeNB.

Краен срок: 1 януари 1993 г.

Орган: FMA / OeNB

BNR Norm 4/2018 on IT Operational Risk Management

Санкции: Regulatory sanctions by BNR

Norma BNR nr. 4/2018

Institutii de credit si institutii financiare. Authority: Banca Nationala a Romaniei (BNR).

Орган: Banca Nationala a Romaniei (BNR)

Краен срок: 1 юни 2018 г.

CBI Cross-Industry Guidance on IT and Cybersecurity Risks

CBICROSS

Financial services firms regulated by CBI. Authority: CBI.

Краен срок: 1 септември 2016 г.

Орган: CBI

CBI Operational Resilience Guidelines

CBIOPRES

Banks, insurance companies, investment firms. Authority: CBI.

Краен срок: 1 декември 2021 г.

Орган: CBI

Critical Infrastructure Act

Санкции: HRK 50,000 to 500,000

NN 56/2013

Operatori kljucnih infrastruktura. Authority: Ministarstvo unutarnjih poslova.

Орган: Ministarstvo unutarnjih poslova

Краен срок: 18 май 2013 г.

Critical Infrastructure Act

Санкции: EUR 10,000 to 60,000

ZKI (Ur. l. RS 75/2017)

Operatorji kljucne infrastrukture. Authority: Ministrstvo za obrambo.

Орган: Ministrstvo za obrambo

Краен срок: 30 декември 2017 г.

CSIRT KNF - Financial Sector CSIRT

CSIRTKNF

Financial sector entities. Authority: KNF.

Краен срок: 1 януари 2020 г.

Орган: KNF

CSSF Circulars on IT outsourcing and cybersecurity (17/654, 22/806)

CSSFCIRC

Financial sector entities. Authority: CSSF.

Краен срок: 1 юни 2017 г.

Орган: CSSF

Danish FSA IT Security Requirements for Financial Sector

Санкции: Regulatory measures by Finanstilsynet

BEK nr. 1580 af 17/12/2019

Pengeinstitutter, forsikringsselskaber og vaerdipapirhandlere. Authority: Finanstilsynet.

Орган: Finanstilsynet

Краен срок: 1 януари 2020 г.

DNB Good Practice Information Security

Санкции: DNB regulatory measures

DNB Guidance 2019

Financiele instellingen onder toezicht van DNB. Authority: De Nederlandsche Bank (DNB).

Орган: De Nederlandsche Bank (DNB)

Краен срок: 1 април 2019 г.

Санкции: До 1% от средния дневен оборот за всеки ден на нарушение (за финансови субекти)

DORA

3 ръководства

Регламент ЕС 2022/2554

Законът за дигиталната оперативна устойчивост (DORA) укрепва дигиталната устойчивост на финансовия сектор на ЕС. Установява единна рамка за управление на ИКТ риска, тестване и докладване на инциденти за финансови субекти.

Орган: Комисия за финансов надзор (КФН)

Краен срок: 17 януари 2025 г.

EFSA Guidelines on IT Risk Management for Financial Sector

Санкции: Regulatory sanctions by EFSA

Finantsinspektsiooni soovituslik juhend (2020)

Krediidiasutused, kindlustusseltsid, investeerimisettevotted. Authority: Finantsinspektsioon (EFSA).

Орган: Finantsinspektsioon (EFSA)

Краен срок: 1 януари 2020 г.

eIDAS

Санкции: Варира според държавата-членка на ЕС; загуба на акредитация за квалифицирани доставчици

Регламент ЕС 910/2014 (eIDAS)

Регламентът eIDAS (Електронна идентификация и доверителни услуги) създава правна рамка за електронна идентификация и доверителни услуги в ЕС. Обхваща електронни подписи, печати, времеви марки и удостоверяване на уебсайтове.

Орган: Комисия за регулиране на съобщенията (КРС)

Краен срок: 20 май 2026 г.

FCMC Regulations on IT and Security Risk Management

Санкции: Regulatory sanctions by Latvijas Banka

FKTK normativie noteikumi 233 (2020)

Kreditiestades, apdrosinasanas sabiedribas, ieguldijumu uznemumi. Authority: FKTK (Finansu un kapitala tirgus komisija) / Latvijas Banka.

Орган: FKTK (Finansu un kapitala tirgus komisija) / Latvijas Banka

Краен срок: 1 септември 2020 г.

FFFS 2014:5 Informationssaekerhet, it-verksamhet

FFFS20145

Banks, securities companies, credit market companies. Authority: Finansinspektionen.

Орган: Finansinspektionen

Краен срок: 1 май 2014 г.

Finanssivalvonta Standards and Regulations on IT risk management

FINFSASTANDARDS

Banks, insurance companies, pension funds, investment firms. Authority: Finanssivalvonta.

Краен срок: 1 януари 2004 г.

Орган: Finanssivalvonta

FMA IT Security Regulation for Financial Sector

Санкции: Regulatory measures by FMA

FMA-IT-SichV 2021

Kreditinstitute, Versicherungsunternehmen, Wertpapierfirmen. Authority: FMA (Finanzmarktaufsicht).

Орган: FMA (Finanzmarktaufsicht)

Краен срок: 1 септември 2021 г.

Санкции: До 4% от глобалния годишен оборот или 20 млн. EUR (което е по-голямо)

GDPR

4 ръководства

Регламент ЕС 2016/679

Общият регламент за защита на данните (GDPR) установява правила за защита на физическите лица при обработката на лични данни. Прилага се за всички компании, обработващи данни на граждани на ЕС, независимо от местонахождението.

Орган: Комисия за защита на личните данни (КЗЛД)

IKT-forskrift for finansforetak (IKT regulation for financial entities)

IKT_FORSKRIFT

Banks, insurance, pension, securities firms. Authority: Finanstilsynet.

Краен срок: 21 май 2003 г.

Орган: Finanstilsynet

ISO 27001

Санкции: Загуба на сертификация, договорни санкции, репутационни щети

ISO/IEC 27001:2022

ISO/IEC 27001 е международният стандарт за системи за управление на информационната сигурност (ISMS). Осигурява систематичен подход към управлението на чувствителна информация, гарантирайки нейната поверителност, цялостност и наличност.

Орган: Акредитиран сертификационен орган

KNF Recommendation D - Management of IT and ICT Environment

KNFREKOM

Banks, credit institutions. Authority: KNF.

Краен срок: 1 януари 2013 г.

Орган: KNF

KRITIS-Verordnung (BSI-KritisV)

KRITISV

Critical infrastructure operators above threshold values. Authority: BSI.

Краен срок: 3 май 2016 г.

Орган: BSI

Legislative Decree 138/2024 - NIS2 Transposition

Санкции: Fino a 10 milioni di euro o 2% del fatturato mondiale annuo

D.Lgs. 138/2024

Soggetti essenziali e importanti nei 18 settori NIS2 (50+ dipendenti o 10M+ fatturato). Authority: ACN - Agenzia per la Cybersicurezza Nazionale.

Орган: ACN - Agenzia per la Cybersicurezza Nazionale

Краен срок: 16 октомври 2024 г.

Ley 8/2011 de Proteccion de Infraestructuras Criticas

LPIC

Critical infrastructure operators (12 strategic sectors). Authority: CNPIC / Ministerio del Interior.

Орган: CNPIC / Ministerio del Interior

Краен срок: 29 април 2011 г.

Loi de Programmation Militaire (LPM 2024-2030) - Art. cyber OIV

LPM

Operateurs d'Importance Vitale (OIV). Authority: ANSSI / SGDSN.

Краен срок: 1 януари 2024 г.

Орган: ANSSI / SGDSN

Loi du 1er juillet 2011 relative a la securite et la protection des infrastructures critiques

LSRI

Critical infrastructure operators. Authority: Centre de crise national.

Орган: Centre de crise national

Краен срок: 1 юли 2011 г.

MFSA ICT Risk Management Requirements for Financial Sector

Санкции: Regulatory sanctions by MFSA

MFSA Banking Rule BR/22

Credit institutions, insurance undertakings, investment services licensees. Authority: MFSA (Malta Financial Services Authority).

Орган: MFSA (Malta Financial Services Authority)

Краен срок: 1 януари 2021 г.

MNB Recommendation on IT Security for Financial Institutions

Санкции: Regulatory sanctions by MNB

MNB Ajnlas 8/2020

Hitelintezetek, biztositok, penzugyi valalatok. Authority: Magyar Nemzeti Bank (MNB).

Орган: Magyar Nemzeti Bank (MNB)

Краен срок: 1 октомври 2020 г.

Naredba za minimalnite iziskvaniya za mrezhova i informacionna sigurnost

Санкции: BGN 5,000 to BGN 25,000 for first offence

Naredba za MMIS (prieta s PMS 186/2019)

Operators of essential services and digital service providers. Authority: State Agency for Cybersecurity.

Орган: State Agency for Cybersecurity

Краен срок: 2 август 2019 г.

NBB Circular on ICT Security Expectations for Financial Institutions

Санкции: Regulatory sanctions by NBB

Circulaire NBB_2015_32

Etablissements de credit, entreprises d'assurance, institutions de paiement. Authority: Banque Nationale de Belgique (NBB/BNB).

Орган: Banque Nationale de Belgique (NBB/BNB)

Краен срок: 18 ноември 2015 г.

NBS Measure 3/2018 on IT Risk Management

Санкции: Regulatory sanctions by NBS

Opatrenie NBS c. 3/2018

Banky, poistovne, investicne spolocnosti. Authority: Narodna banka Slovenska (NBS).

Орган: Narodna banka Slovenska (NBS)

Краен срок: 1 юли 2018 г.

Санкции: До 10 млн. EUR или 2% от глобалния оборот за съществени субекти

NIS2

4 ръководства

Директива ЕС 2022/2555

Директивата NIS2 разширява и укрепва изискванията за киберсигурност в целия ЕС. Създава хармонизирана рамка за мерки за сигурност и докладване на инциденти за съществени и важни субекти.

Орган: Национален орган за киберсигурност

Краен срок: 17 октомври 2024 г.

PCI-DSS

Санкции: От 5 000 до 100 000 USD/месец за нарушение, възможна загуба на способността за приемане на плащания

PCI DSS v4.0

Стандартът за сигурност на данните в индустрията за платежни карти (PCI DSS) е набор от стандарти за сигурност за защита на данни на платежни карти. Прилага се за всички субекти, обработващи, предаващи или съхраняващи данни на притежатели на карти.

Орган: PCI Security Standards Council

PSNC - Perimetro Sicurezza Nazionale Cibernetica (D.L. 105/2019)

Санкции: Прилагат се национални санкции

PSNC

Орган: Presidenza del Consiglio dei Ministri

Краен срок: 21 ноември 2019 г.

Sakerhetsskyddslag (2018:585) - Security Protection Act

SAKERHETSSKYDDSLAGEN

Entities handling classified information, security-sensitive activities. Authority: Saekerhetspolisen (SAPO).

Орган: Saekerhetspolisen (SAPO)

Краен срок: 1 април 2019 г.

Sikkerhetsloven (Security Act)

SIKKHETSLOV

Entities handling classified info, critical infrastructure. Authority: NSM.

Краен срок: 1 януари 2019 г.

Орган: NSM