Art. 13
Apprendimento ed evoluzione
In vigore dal 14 dic 2022
Apprendimento ed evoluzione
1. Le entità finanziare dispongono capacità e personale per raccogliere informazioni in relazione alle vulnerabilità e alle minacce informatiche, agli incidenti connessi alle TIC, in particolare agli attacchi informatici, e analizzarne i probabili effetti sulla loro resilienza operativa digitale.
2. Dopo che un grave incidente connesso alle TIC ha perturbato le loro attività principali, le entità finanziarie svolgono un riesame successivo a tale incidente che analizzi le cause della perturbazione e identifichi i miglioramenti che è necessario apportare alle operazioni riguardanti le TIC o nell’ambito della politica di continuità operativa delle TIC di cui all’.
Le entità finanziarie diverse dalle microimprese comunicano, su richiesta, alle autorità competenti le modifiche attuate a seguito del riesame successivo all’incidente connesso alle TIC di cui al primo comma.
Il riesame successivo all’incidente connesso alle TIC di cui al primo comma determina se le procedure stabilite siano state seguite e se le azioni adottate siano state efficaci, anche in relazione:
a)
alla tempestività della risposta agli allarmi di sicurezza e alla determinazione dell’impatto degli incidenti connessi alle TIC e della loro gravità;
b)
alla qualità e alla rapidità dell’analisi forense, ove ritenuto opportuno;
c)
all’efficacia della procedura di attivazione dei livelli successivi di intervento in caso di incidenti all’interno dell’entità finanziaria;
d)
all’efficacia della comunicazione interna ed esterna.
3. Gli insegnamenti tratti dai test sulla resilienza operativa digitale effettuati in conformità degli e da incidenti connessi alle TIC realmente avvenuti, in particolare attacchi informatici, insieme alle difficoltà riscontrate al momento dell’attivazione dei piani di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC, nonché le informazioni pertinenti scambiate con le controparti e valutate nel corso degli esami di vigilanza sono debitamente e costantemente integrati nel processo di valutazione dei rischi informatici. Tali risultanze costituiscono la base per opportune revisioni delle relative componenti del quadro per la gestione dei rischi informatici di cui all’, paragrafo 1.
4. Le entità finanziarie monitorano l’efficacia dell’attuazione della loro strategia di resilienza operativa digitale stabilita all’, paragrafo 8. Tracciano l’evoluzione nel tempo dei rischi informatici, analizzano la frequenza, i tipi, le dimensioni e l’evoluzione degli incidenti connessi alle TIC, in particolare gli attacchi informatici e i relativi schemi, al fine di comprendere il livello di esposizione ai rischi informatici — segnatamente in relazione alle funzioni essenziali o importanti — e migliorare la maturità informatica e la preparazione dell’entità finanziaria.
5. Il personale addetto alle TIC di grado più elevato comunica almeno una volta all’anno all’organo di gestione le risultanze di cui al paragrafo 3 e formula raccomandazioni.
6. Le entità finanziarie elaborano programmi di sensibilizzazione sulla sicurezza delle TIC nonché attività di formazione sulla resilienza operativa digitale, che rappresentano moduli obbligatori nei programmi di formazione del personale. Tali programmi e attività di formazione riguardano tutti i dipendenti e gli alti dirigenti, e presentano un livello di complessità commisurato all’ambito delle loro funzioni. Se del caso, le entità finanziarie includono anche i fornitori terzi di servizi TIC nei loro sistemi di formazione pertinenti, conformemente all’, paragrafo 2, lettera i).
7. Le entità finanziarie diverse dalle microimprese monitorano costantemente i pertinenti sviluppi tecnologici, anche al fine di comprendere i possibili effetti dell’impiego di tali nuove tecnologie sui requisiti in materia di sicurezza delle TIC e sulla resilienza operativa digitale. Si tengono aggiornate sui più recenti processi di gestione dei rischi informatici, in modo da contrastare efficacemente le forme nuove o già esistenti di attacchi informatici.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg:2022:2554:oj#art-13