Art. 18
Sicurezza fisica e ambientale
In vigore dal 13 mar 2024
Sicurezza fisica e ambientale
1. Nell’ambito delle salvaguardie volte a preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, le entità finanziarie specificano, documentano e attuano una politica in materia di sicurezza fisica e ambientale. Le entità finanziarie elaborano tale politica alla luce del panorama delle minacce informatiche, conformemente alla classificazione effettuata ai sensi dell’, paragrafo 1, del regolamento (UE) 2022/2554, e alla luce del profilo di rischio complessivo delle risorse TIC e dei patrimoni informativi accessibili.
2. La politica in materia di sicurezza fisica e ambientale di cui al paragrafo 1 contiene tutti gli elementi seguenti:
a)
un riferimento alla sezione della politica sul controllo dei diritti di gestione degli accessi di cui all’, primo comma, lettera g);
b)
le misure per proteggere da attacchi, incidenti e minacce e pericoli ambientali i locali, i centri di elaborazione dati dell’entità finanziaria e le aree designate come sensibili dall’entità finanziaria, dove risiedono le risorse TIC e i patrimoni informativi;
c)
le misure volte a garantire la sicurezza delle risorse TIC, sia all’interno che all’esterno dei locali dell’entità finanziaria, tenendo conto dei risultati della valutazione dei rischi informatici relativi alle risorse TIC pertinenti;
d)
le misure volte a garantire la disponibilità, l’autenticità, l’integrità e la riservatezza delle risorse TIC, dei patrimoni informativi e dei dispositivi di controllo degli accessi fisici dell’entità finanziaria attraverso un’adeguata manutenzione;
e)
le misure per preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, tra cui:
i)
una politica «clear desk» per i documenti cartacei;
ii)
una politica «clear screen» per le strutture di elaborazione delle informazioni.
Ai fini della lettera b), le misure di protezione dalle minacce e dai pericoli ambientali sono commisurate all’importanza dei locali, dei centri di elaborazione dati, delle aree designate come sensibili e alla criticità delle operazioni o dei sistemi di TIC ivi ubicati.
Ai fini della lettera c), la politica in materia di sicurezza fisica e ambientale di cui al paragrafo 1 contiene misure per fornire una protezione adeguata alle risorse TIC non presidiate.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1774:oj#art-18