Art. 17
Gestione delle modifiche delle TIC
In vigore dal 13 mar 2024
Gestione delle modifiche delle TIC
1. Nell’ambito delle salvaguardie volte a preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, le entità finanziarie includono nelle procedure per la gestione delle modifiche delle TIC di cui all’, paragrafo 4, lettera e), del regolamento (UE) 2022/2554, per tutte le modifiche a software, hardware, componenti firmware, sistemi o parametri di sicurezza, tutti gli elementi seguenti:
a)
una verifica del rispetto dei requisiti di sicurezza delle TIC;
b)
i meccanismi per garantire l’indipendenza delle funzioni che approvano le modifiche e delle funzioni responsabili della richiesta e dell’attuazione di tali modifiche;
c)
una chiara descrizione dei ruoli e delle responsabilità per garantire che:
i)
le modifiche siano specificate e pianificate;
ii)
sia prevista una transizione adeguata;
iii)
le modifiche siano testate e finalizzate in modo controllato;
iv)
vi sia un’efficace garanzia della qualità;
d)
la documentazione e la comunicazione dei dettagli della modifica, tra cui:
i)
lo scopo e la portata della modifica;
ii)
la tempistica per l’implementazione della modifica;
iii)
i risultati attesi;
e)
l’identificazione delle responsabilità e delle procedure di fall-back, comprese le responsabilità e le procedure per l’interruzione delle modifiche o per il ripristino in caso di modifiche non implementate correttamente;
f)
procedure, protocolli e strumenti per la gestione delle modifiche di emergenza che forniscano adeguate salvaguardie;
g)
procedure per documentare, rivalutare, valutare e approvare le modifiche di emergenza dopo la loro implementazione, comprese soluzioni workaround e patch;
h)
l’identificazione dell’impatto potenziale di una modifica sulle misure di sicurezza delle TIC esistenti e la valutazione dell’eventualità che tale modifica richieda l’adozione di ulteriori misure di sicurezza delle TIC.
2. Dopo aver apportato modifiche significative ai loro sistemi di TIC, le controparti centrali e i depositari centrali di titoli sottopongono i loro sistemi di TIC a test rigorosi simulando condizioni di stress.
Se del caso, le controparti centrali coinvolgono nella progettazione e nella conduzione dei test di cui al primo comma:
a)
i partecipanti diretti e i clienti;
b)
le controparti centrali interoperabili;
c)
altre parti interessate.
Se del caso, i depositari centrali di titoli coinvolgono nella progettazione e nella conduzione dei test di cui al primo comma:
a)
gli utenti;
b)
i fornitori di utenze critiche e di servizi critici;
c)
altri depositari centrali di titoli;
d)
altre infrastrutture di mercato;
e)
qualsiasi altro ente con cui i depositari centrali di titoli abbiano identificato interdipendenze nella loro politica di continuità operativa delle TIC.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1774:oj#art-17