Art. 41
Formato e contenuto della relazione sul riesame del quadro semplificato per la gestione dei rischi informatici
In vigore dal 13 mar 2024
Formato e contenuto della relazione sul riesame del quadro semplificato per la gestione dei rischi informatici
1. Le entità finanziarie di cui all’, paragrafo 1, del regolamento (UE) 2022/2554 presentano la relazione sul riesame del quadro per la gestione dei rischi informatici di cui al paragrafo 2 di tale articolo in un formato elettronico che permetta la ricerca al suo interno.
2. La relazione di cui al paragrafo 1 contiene tutte le informazioni seguenti:
a)
una sezione introduttiva che fornisce:
i)
una descrizione del contesto della relazione in termini di natura, portata e complessità dei servizi, delle attività e delle operazioni dell’entità finanziaria, della sua organizzazione, delle funzioni essenziali identificate, della strategia, dei principali progetti o attività in corso, dei rapporti e della dipendenza dell’entità finanziaria da servizi e sistemi di TIC interni e appaltati o delle implicazioni che una perdita totale o un grave degrado di tali sistemi avrebbe sulle funzioni essenziali o importanti e sull’efficienza del mercato;
ii)
una sintesi di livello esecutivo dei rischi informatici corrente e a breve termine, del panorama delle minacce, della valutazione dell’efficacia dei controlli e della posizione in materia di sicurezza dell’entità finanziaria;
iii)
informazioni sull’area oggetto della relazione;
iv)
una sintesi delle modifiche di rilievo apportate al quadro per la gestione dei rischi informatici rispetto alla precedente relazione;
v)
una sintesi e una descrizione dell’impatto delle modifiche e dei miglioramenti di rilievo apportati al quadro semplificato per la gestione dei rischi informatici rispetto alla relazione precedente;
b)
se del caso, la data di approvazione della relazione da parte dell’organo di gestione dell’entità finanziaria;
c)
una descrizione delle ragioni del riesame, comprensiva di:
i)
nel caso in cui il riesame sia stato avviato a seguito di istruzioni delle autorità di vigilanza, la prova di tali istruzioni;
ii)
nel caso in cui il riesame sia stato avviato a seguito del verificarsi di incidenti connessi alle TIC, l’elenco di tutti gli incidenti connessi alle TIC con la relativa analisi delle cause di fondo;
d)
la data di inizio e di fine del periodo del riesame;
e)
la persona responsabile del riesame;
f)
una sintesi delle risultanze e un’autovalutazione della gravità delle debolezze, delle carenze e delle lacune identificate nel quadro per la gestione dei rischi informatici per il periodo del riesame, compresa un’analisi dettagliata delle stesse;
g)
misure di riparazione individuate per affrontare le debolezze, le carenze e le lacune del quadro semplificato per la gestione dei rischi informatici e la data prevista per l’attuazione di tali misure, compreso il seguito dato alle debolezze, alle carenze e alle lacune identificate nelle relazioni precedenti, qualora tali debolezze, carenze e lacune non siano ancora state risolte;
h)
conclusioni generali sul riesame del quadro semplificato per la gestione dei rischi informatici, compresi eventuali ulteriori sviluppi previsti.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1774:oj#art-41