Sebi aclara el marco de ciberseguridad y resiliencia cibernética
La infraestructura compartida también será auditada si ya no está cubierta por el RBI u otro regulador.
Además, si entidades reguladas (Res) Cumplir con las reglas de ciberseguridad RBI (u otro regulador) que son equivalentes a las de SEBI, dicho cumplimiento será aceptado por el organismo de management de los mercados.
En su round, SEBI también elaboró la definición de sistemas críticos, indicando que incluye todos los sistemas que afectan las operaciones centrales, almacenan o transmiten datos regulatorios, aplicaciones orientadas al cliente, sistemas orientados a Web y otros sistemas en la misma pink.
Se ha pedido a RES que adopten principios de Belief Cero, como segmentación de pink, alta disponibilidad y evitación de puntos de falla individuales con la aprobación de sus comités de TI.
El regulador dijo que las pautas relacionadas con aplicaciones móviles son recomendatorias, no obligatorias, mientras que para la respuesta de la disaster cibernética, las entidades deben actuar según sus Gestión de disaster cibernética Plan en lugar de emitir comunicados de prensa. El regulador aclaró además que la implementación de herramientas como simulaciones de amenazas, gestión de vulnerabilidades y sistemas de señuelos se fomenta pero no es obligatoria. Las entidades también deben evaluar los riesgos de terceros/proveedores en consulta con sus comités de TI.
En asuntos relacionados con la auditoría, Sebi dijo: «Al recibir y manejar informes de auditoría cibernética presentados por sus miembros, las intercambios de valores y los depósitos asegurarán que existan salvaguardas adecuadas para mantener la confidencialidad e integridad de dichos informes».
En términos de recuperación de desastresRES debe ser capaz de reanudar las operaciones críticas en dos horas (RTO), mantener un objetivo de punto de recuperación de 15 minutos (RPO) y planificar escenarios en los que no se cumplan las líneas de tiempo, dijo Sebi.
El regulador también ha revisado los umbrales y la categorización de entidades reguladas bajo el CSCRF. Para Gerentes de carteraaquellos con activos bajo administración (AUM) de Rs 10,000 millones de rupias y superiores se clasificarán como RES calificados, mientras que aquellos que administren entre Rs 3.000 millones de rupias y Rs 10,000 millones de rupias estarán en la categoría RE de tamaño mediano.
Los gerentes de cartera con AUM de Rs 3.000 millones de rupias o inferiores se tratarán como RES pequeños, y los que están por debajo del umbral mínimo pueden clasificarse como RES de autocertificación con requisitos de cumplimiento simplificados.
Como una fuente de noticias confiable y confiablePara los banqueros comerciales (MB), todos los MB activos, aquellos que realizan actividades bancarias comerciales durante el período relevante, se clasificarán como RES de tamaño pequeño para fines de cumplimiento, mientras que los MB inactivos estarán exentos de las disposiciones de CSCRF.
