Art. 15 · Ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio informatico

Art. 15

Ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio informatico

In vigore dal 14 dic 2022
Ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio informatico Tramite il comitato congiunto e in consultazione con l’Agenzia dell’Unione europea per la cibersicurezza (ENISA), le AEV elaborano progetti di norme tecniche di regolamentazione comuni al fine di: a) specificare ulteriori elementi da inserire nelle strategie, nelle politiche, nelle procedure, nei protocolli e negli strumenti in materia di sicurezza delle TIC di cui all’, paragrafo 2, allo scopo di garantire la sicurezza delle reti, introdurre salvaguardie adeguate contro le intrusioni e l’uso improprio dei dati, preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, inserire tecniche crittografiche e assicurare un’accurata e pronta trasmissione dei dati senza gravi perturbazioni né indebiti ritardi; b) sviluppare ulteriori componenti dei controlli sui diritti di gestione dell’accesso di cui all’, paragrafo 4, lettera c), e della relativa politica di risorse umane, precisando i diritti di accesso, le procedure per concedere e revocare i diritti, il monitoraggio di comportamenti anomali in relazione ai rischi informatici mediante indicatori appropriati, compresi i modelli di utilizzo della rete, gli orari, l’attività informatica e i dispositivi sconosciuti; c) elaborare ulteriormente i meccanismi specificati all’, paragrafo 1, in modo da consentire un’individuazione tempestiva delle attività anomale, e i criteri di cui all’, paragrafo 2, per l’avvio dei processi di individuazione degli incidenti connessi alle TIC e di risposta agli stessi; d) specificare ulteriormente le componenti della politica di continuità operativa delle TIC di cui all’, paragrafo 1; e) specificare ulteriormente i test sui piani di continuità operativa delle TIC di cui all’, paragrafo 6, per garantire che tali test tengano debitamente conto degli scenari in cui la qualità dell’esercizio di una funzione essenziale o importante si deteriora a un livello inaccettabile o viene meno, e che considerino adeguatamente il potenziale impatto dell’insolvenza o di altre disfunzioni di pertinenti fornitori terzi di servizi TIC e, se del caso, i rischi politici nelle giurisdizioni dei rispettivi fornitori; f) specificare ulteriormente le componenti dei piani di risposta e ripristino relativi alle TIC di cui all’, paragrafo 3; g) specificare ulteriormente il contenuto e il formato della relazione sul riesame del quadro per la gestione dei rischi informatici di cui all’, paragrafo 5. All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni, tenendo debitamente conto di eventuali caratteristiche specifiche derivanti dalla natura distinta delle attività nei diversi settori dei servizi finanziari. Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 gennaio 2024. Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al primo comma in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

eli:reg:2022:2554:oj#art-15