Art. 2
Elementi generali delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC
In vigore dal 13 mar 2024
Elementi generali delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC
1. Le entità finanziarie assicurano che le loro politiche per la sicurezza delle TIC, la sicurezza delle informazioni nonché le procedure, i protocolli e gli strumenti correlati di cui all’, paragrafo 2, del regolamento (UE) 2022/2554 siano integrati nel loro quadro per la gestione dei rischi informatici. Le entità finanziarie definiscono politiche, procedure, protocolli e strumenti per la sicurezza delle TIC di cui al presente capo che:
a)
garantiscono la sicurezza delle reti;
b)
contengono adeguate salvaguardie contro le intrusioni e l’uso illecito dei dati;
c)
preservano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, anche con tecniche crittografiche;
d)
garantiscono un’accurata e pronta trasmissione dei dati senza gravi perturbazioni né indebiti ritardi.
2. Le entità finanziarie provvedono affinché le politiche per la sicurezza delle TIC di cui al paragrafo 1:
a)
siano allineate agli obiettivi in materia di sicurezza delle informazioni dell’entità finanziaria inclusi nella strategia di resilienza operativa digitale di cui all’, paragrafo 8, del regolamento (UE) 2022/2554;
b)
indichino la data di approvazione formale delle politiche per la sicurezza delle TIC da parte dell’organo di gestione;
c)
contengano indicatori e misure per:
i)
monitorare l’attuazione delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC;
ii)
registrare le eccezioni a tale attuazione;
iii)
garantire la resilienza operativa digitale dell’entità finanziaria nel caso delle eccezioni di cui al punto ii);
d)
specifichino le responsabilità del personale a tutti i livelli per garantire la sicurezza delle TIC dell’entità finanziaria;
e)
specifichino le conseguenze dell’inosservanza delle politiche per la sicurezza delle TIC da parte del personale dell’entità finanziaria, laddove non siano previste disposizioni in tal senso in altre politiche dell’entità finanziaria;
f)
elenchino la documentazione da conservare;
g)
specifichino le modalità di separazione dei compiti nel contesto del modello delle tre linee di difesa o di un altro modello interno di gestione e controllo del rischio, a seconda dei casi, per evitare conflitti di interessi;
h)
tengano conto delle pratiche più avanzate e, se del caso, delle norme definite all’, punto 1), del regolamento (UE) n. 1025/2012;
i)
identifichino i ruoli e le responsabilità per l’elaborazione, l’attuazione e la manutenzione delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC;
j)
siano sottoposte a riesame in conformità dell’, paragrafo 5, del regolamento (UE) 2022/2554;
k)
tengano conto di modifiche sostanziali riguardanti l’entità finanziaria, comprese modifiche sostanziali nelle attività o nei processi dell’entità finanziaria, nel panorama delle minacce informatiche o negli obblighi giuridici applicabili.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1774:oj#art-2