Art. 3
Gestione dei rischi informatici
In vigore dal 13 mar 2024
Gestione dei rischi informatici
Le entità finanziarie elaborano, documentano e attuano politiche e procedure per la gestione dei rischi informatici contenenti tutti gli elementi seguenti:
a)
l’indicazione dell’approvazione del livello di tolleranza per i rischi informatici stabilito in conformità dell’, paragrafo 8, lettera b), del regolamento (UE) 2022/2554;
b)
una procedura e una metodologia per condurre la valutazione dei rischi informatici, che identifichino:
i)
le vulnerabilità e le minacce che interessano o potrebbero interessare le funzioni commerciali supportate, i sistemi di TIC e le risorse TIC che supportano tali funzioni;
ii)
gli indicatori quantitativi o qualitativi per misurare l’impatto e la probabilità delle vulnerabilità e delle minacce di cui al punto i);
c)
la procedura per identificare, attuare e documentare le misure di trattamento dei rischi informatici per i rischi identificati e valutati, compresa la determinazione delle misure di trattamento dei rischi informatici necessarie per far rientrare il rischio informatico nel livello di tolleranza per i rischi di cui alla lettera a);
d)
per i rischi informatici residui ancora presenti dopo l’attuazione delle misure di trattamento dei rischi informatici di cui alla lettera c):
i)
disposizioni relative all’identificazione di tali rischi informatici residui;
ii)
l’assegnazione di ruoli e responsabilità per quanto riguarda:
(1)
l’accettazione dei rischi informatici residui che superano il livello di tolleranza per i rischi dell’entità finanziaria di cui alla lettera a);
(2)
il processo di riesame di cui al punto iv) della presente lettera d);
iii)
l’elaborazione di un inventario dei rischi informatici residui accettati, compresa la motivazione della loro accettazione;
iv)
disposizioni relative al riesame, almeno una volta all’anno, dei rischi informatici residui accettati, che comprendano:
1)
l’identificazione di eventuali cambiamenti nei rischi informatici residui;
2)
la valutazione delle misure di attenuazione disponibili;
3)
la valutazione della validità e dell’applicabilità, alla data del riesame, delle motivazioni che giustificano l’accettazione dei rischi informatici residui;
e)
disposizioni sul monitoraggio:
i)
di qualsiasi cambiamento nel panorama dei rischi informatici e delle minacce informatiche;
ii)
di vulnerabilità e minacce interne ed esterne;
iii)
del rischio informatico dell’entità finanziaria, che consentano di individuare tempestivamente i cambiamenti che potrebbero influire sul suo profilo di rischio informatico;
f)
disposizioni relative a un processo per garantire che si tenga conto di eventuali modifiche alla strategia aziendale e alla strategia di resilienza operativa digitale dell’entità finanziaria.
Ai fini del primo comma, lettera c), la procedura di cui a tale lettera garantisce:
a)
il monitoraggio dell’efficacia delle misure di trattamento dei rischi informatici attuate;
b)
la valutazione del raggiungimento dei livelli di tolleranza per i rischi fissati dall’entità finanziaria;
c)
la valutazione del fatto che l’entità finanziaria abbia intrapreso azioni per correggere o migliorare tali misure, ove necessario.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1774:oj#art-3