Art. 5
Governance e organizzazione
In vigore dal 14 dic 2022
Governance e organizzazione
1. Le entità finanziarie predispongono un quadro di gestione e di controllo interno che garantisce una gestione efficace e prudente di tutti i rischi informatici, conformemente all’, paragrafo 4, al fine di acquisire un elevato livello di resilienza operativa digitale.
2. L’organo di gestione dell’entità finanziaria definisce e approva l’attuazione di tutte le disposizioni concernenti il quadro per la gestione dei rischi informatici di cui all’, paragrafo 1, vigila su tale attuazione e ne è responsabile.
Ai fini del primo comma, l’organo di gestione:
a)
assume la responsabilità finale per la gestione dei rischi informatici dell’entità finanziaria;
b)
predispone politiche miranti a garantire il mantenimento di standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati;
c)
definisce chiaramente ruoli e responsabilità per tutte le funzioni connesse alle TIC e stabilisce adeguati meccanismi di governance al fine di garantire una comunicazione, una cooperazione e un coordinamento efficaci e tempestivi tra tali funzioni;
d)
ha la responsabilità generale di definire e approvare la strategia di resilienza operativa digitale di cui all’, paragrafo 8, compresa la determinazione del livello appropriato di tolleranza per i rischi informatici dell’entità finanziaria, ai sensi dell’, paragrafo 8, lettera b);
e)
approva, supervisiona e riesamina periodicamente l’attuazione della politica di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC dell’entità finanziaria, di cui rispettivamente all’, paragrafi 1 e 3, che possono essere adottati come politica specifica dedicata che costituisce parte integrante della politica generale di continuità operativa e del piano di risposta e ripristino dell’entità finanziaria;
f)
approva e riesamina periodicamente i piani interni di audit in materia di TIC dell’entità finanziaria, gli audit in materia di TIC e le più importanti modifiche a essi apportate;
g)
assegna e riesamina periodicamente le risorse finanziarie adeguate per soddisfare le esigenze di resilienza operativa digitale dell’entità finanziaria rispetto a tutti i tipi di risorse, compresi i pertinenti programmi di sensibilizzazione sulla sicurezza delle TIC e le attività di formazione sulla resilienza operativa digitale di cui all’, paragrafo 6, nonché le competenze in materia di TIC per tutto il personale;
h)
approva e riesamina periodicamente la politica dell’entità finanziaria relativa alle modalità per l’uso dei servizi TIC prestati dal fornitore terzo di servizi TIC;
i)
istituisce a livello aziendale canali di comunicazione che gli consentono di essere debitamente informato in merito a quanto segue:
i)
gli accordi conclusi con i fornitori terzi di servizi TIC sull’uso di tali servizi;
ii)
le relative eventuali modifiche importanti e pertinenti previste riguardo ai fornitori terzi di servizi TIC;
iii)
il potenziale impatto di tali modiche sulle funzioni essenziali o importanti soggette agli accordi in questione, compresa una sintesi dell’analisi del rischio per valutare l’impatto di tali modifiche, nonché almeno gli gravi incidenti TIC e il loro impatto, le misure di risposta e ripristino e le misure correttive.
3. Le entità finanziarie diverse dalle microimprese istituiscono un ruolo al fine di monitorare gli accordi conclusi con i fornitori terzi di servizi TIC per l’uso di tali servizi, oppure designano un dirigente di rango elevato quale responsabile della sorveglianza sulla relativa esposizione al rischio e sulla documentazione pertinente.
4. I membri dell’organo di gestione dell’entità finanziaria mantengono attivamente aggiornate conoscenze e competenze adeguate per comprendere e valutare i rischi informatici e il loro impatto sulle operazioni dell’entità finanziaria, anche seguendo una formazione specifica su base regolare, commisurata ai rischi informatici gestiti.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg:2022:2554:oj#art-5