46.e člen
(neposreden dostop do nadzornega sveta in uprave)
(1)
Banka mora vodji funkcije upravljanja informacijske varnosti omogočiti redno sodelovanje na sejah nadzornega sveta v delu, ki se nanašajo na tveganja iz naslova informacijske varnosti. Vodja funkcije upravljanja informacijske varnosti na teh sejah predstavlja analize, ocene in druge informacije glede tveganj iz naslova informacijske varnosti ter zastopa stališča funkcije upravljanja informacijske varnosti, ki so v skladu s politiko informacijske varnosti banke.
(2)
Banka mora zagotoviti, da funkcija upravljanja informacijske varnosti o svojih ugotovitvah poroča upravi in nadzornemu svetu neovirano in neodvisno. Neovirano poročanje pomeni, da funkcija upravljanja informacijske varnosti poroča navedenim organom oziroma funkcijam brez morebitnih zahtev ali pritiskov s strani člana upravljalnega organa ali višjega vodstva po neprimernem prilagajanju ali izpuščanju informacij. Banka mora v ta namen zagotoviti, da je način navedenega poročanja upravi in nadzornemu svetu določen s strani funkcije upravljanja informacijske varnosti in ne s strani uprave ali nadzornega sveta. Neodvisno obveščanje pomeni, da lahko funkcija upravljanja informacijske varnosti poroča nadzornemu svetu brez predhodne predložitve zadevnega poročila upravi v podpis oziroma odobritev.