Art. 12
Politiche e procedure di backup — Procedure e metodi di ripristino e recupero
In vigore dal 14 dic 2022
Politiche e procedure di backup — Procedure e metodi di ripristino e recupero
1. Al fine di assicurare che i sistemi e i dati di TIC siano ripristinati riducendo al minimo il periodo di inattività e limitando la perturbazione e le perdite, all’interno del proprio quadro per la gestione dei rischi informatici le entità finanziarie elaborano e documentano:
a)
le politiche e procedure di backup che precisano il perimetro dei dati soggetti a backup e la frequenza minima del backup, in base alla criticità delle informazioni o al livello di riservatezza dei dati;
b)
le procedure e i metodi di ripristino e recupero.
2. Le entità finanziarie si dotano di sistemi di backup che possono essere attivati conformemente alle politiche e alle procedure di backup, come pure alle procedure e ai metodi di ripristino e recupero. L’attivazione dei sistemi di backup non mette a repentaglio la sicurezza dei sistemi informatici e di rete né, la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati. I test delle procedure di backup e di ripristino nonché delle procedure e dei metodi di recupero sono effettuati periodicamente.
3. Nel ripristino dei dati di backup effettuato utilizzando i propri sistemi, le entità finanziarie impiegano sistemi di TIC che sono fisicamente e logicamente segregati dal sistema di TIC sorgente. I sistemi di TIC sono protetti in maniera sicura da qualsiasi accesso non autorizzato o corruzione delle TIC e consentono il tempestivo ripristino dei servizi attraverso il backup dei dati e dei sistemi ove necessario.
Per le controparti centrali, i piani di ripristino consentono il ripristino di tutte le operazioni in corso al momento della perturbazione, così da permettere alla controparte centrale di continuare a operare con certezza e di completare la liquidazione alla data programmata.
I fornitori di servizi di comunicazione dati mantengono inoltre risorse adeguate e dispongono di attrezzature di back-up e ripristino per offrire e mantenere in ogni momento i loro servizi.
4. Le entità finanziarie, diverse dalle microimprese, mantengono capacità di TIC ridondanti, dotate di risorse e funzioni sufficienti e adeguate a soddisfare le esigenze commerciali. Le microimprese valutano la necessità di mantenere tali capacità di TIC ridondanti sulla base del loro profilo di rischio.
5. I depositari centrali di titoli mantengono almeno un sito secondario di trattamento dati dotato di risorse, capacità, funzioni e personale adeguati a soddisfare le esigenze commerciali.
Il sito secondario di trattamento dati è:
a)
ubicato geograficamente a distanza dal sito primario per garantire che esso abbia un profilo di rischio distinto e impedire che venga colpito dall’evento che ha interessato il sito primario;
b)
in grado di garantire la continuità delle funzioni essenziali o importanti in maniera identica al sito primario, oppure di fornire il livello di servizi necessario a garantire che l’entità finanziaria svolga le proprie operazioni essenziali nell’ambito degli obiettivi di ripristino;
c)
immediatamente accessibile al personale dell’entità finanziaria per garantire la continuità delle funzioni essenziali o importanti qualora il sito primario di trattamento dati divenga indisponibile.
6. Nel determinare gli obiettivi in materia di punti di ripristino e tempi di ripristino di ciascuna funzione, le entità finanziarie tengono conto del fatto che si tratti di una funzione essenziale o importante e del potenziale impatto complessivo sull’efficienza del mercato. Questi obiettivi in materia di tempi garantiscono che i livelli di servizi concordati siano rispettati anche in scenari estremi.
7. Durante il ripristino successivo a un incidente connesso alle TIC, le entità finanziarie effettuano le verifiche necessarie, comprese eventuali verifiche multiple e controlli incrociati, per assicurare che sia mantenuto il più elevato livello di integrità dei dati. Questi controlli sono effettuati anche al momento di ricostruire i dati provenienti da portatori di interessi esterni, per assicurare la piena coerenza di tutti i dati tra i sistemi.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg:2022:2554:oj#art-12