Art. 75
Infrastruttura informatica
In vigore dal 20 ott 2021
Infrastruttura informatica
1. Nel valutare l’architettura dei sistemi informatici d’interesse per i sistemi di rating dell’ente e per l’applicazione del metodo IRB in conformità dell’articolo 144 del regolamento (UE) n. 575/2013, l’autorità competente valuta quanto segue:
a)
architettura dei sistemi informatici, comprese tutte le applicazioni e le relative interfacce e interazioni;
b)
diagramma di flusso dei dati che mostra la mappa delle applicazioni fondamentali, delle banche dati e dei componenti informatici usati nell’applicazione del metodo IRB e attinenti ai sistemi di rating;
c)
designazione dei proprietari dei sistemi informatici;
d)
capacità, scalabilità e efficienza dei sistemi informatici;
e)
manuali dei sistemi informatici e delle banche dati.
2. Nel valutare la solidità e i diversi aspetti della sicurezza dell’infrastruttura informatica d’interesse per i sistemi di rating dell’ente e per l’applicazione del metodo IRB, l’autorità competente accerta che:
a)
l’infrastruttura informatica sia in grado di supportare tempestivamente, automaticamente e con flessibilità i processi ordinari e straordinari dell’ente;
b)
siano trattati adeguatamente il rischio di interruzione delle capacità dell’infrastruttura informatica («guasti»), il rischio di perdita di dati e il rischio di valutazioni errate («difetti»);
c)
l’infrastruttura informatica sia protetta adeguatamente contro il furto, la frode, la manipolazione o il sabotaggio dei dati o sistemi da parte di malintenzionati che operano dall’interno o dall’esterno.
3. Nell’appurare il rigore dell’infrastruttura informatica d’interesse per i sistemi di rating dell’ente e per l’applicazione del metodo IRB, l’autorità competente accerta che:
a)
siano applicate e testate periodicamente le procedure per fare copie di riserva di sistemi informatici, dati e documentazione;
b)
siano attivati piani d’azione per la continuità dei sistemi informatici critici;
c)
siano state predisposte e siano testate periodicamente le procedure di ripristino dei sistemi informatici in caso di guasto;
d)
gli utenti dei sistemi informatici siano gestiti secondo le politiche e procedure applicabili dell’ente;
e)
siano attivate tracce di audit per la continuità dei sistemi informatici critici;
f)
le modifiche dei sistemi informatici siano gestite in modo adeguato e monitorate in tutti i sistemi informatici.
4. Nell’appurare se l’infrastruttura informatica d’interesse per i sistemi di rating dell’ente e per l’applicazione del metodo IRB è esaminata periodicamente e ad hoc in determinate situazioni, l’autorità competente accerta che:
a)
dalla sorveglianza periodica e dagli esami ad hoc scaturiscano raccomandazioni sull’intervento necessario per colmare le eventuali carenze o lacune riscontrate;
b)
le risultanze e le raccomandazioni di cui alla lettera a) siano comunicate all’alta dirigenza e all’organo di amministrazione dell’ente;
c)
sia dimostrato in modo adeguato che l’ente risponde correttamente alle raccomandazioni e correttamente le attua.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2022:439:oj#art-75