Art. 33
Compiti dell’autorità di sorveglianza capofila
In vigore dal 14 dic 2022
Compiti dell’autorità di sorveglianza capofila
1. L’autorità di sorveglianza capofila, nominata conformemente all’, paragrafo 1, lettera b), effettua la sorveglianza dei fornitori terzi critici di servizi TIC assegnati e, ai fini di tutte le questioni relative alla sorveglianza, è il principale punto di contatto per tali fornitori terzi critici di servizi TIC.
2. Ai fini del paragrafo 1, l’autorità di sorveglianza capofila valuta se ciascun fornitore terzo critico di servizi TIC abbia predisposto norme, procedure, meccanismi e accordi esaustivi, solidi ed efficaci per gestire i rischi informatici cui esso può esporre le entità finanziarie.
La valutazione di cui al primo comma si concentra principalmente sui servizi TIC forniti dal fornitore terzo critico di servizi TIC a supporto di funzioni essenziali o importanti delle entità finanziarie. Se necessario per affrontare tutti i rischi pertinenti, tale valutazione si estende ai servizi TIC a supporto di funzioni diverse da quelle essenziali o importanti.
3. La valutazione di cui al paragrafo 2 riguarda:
a)
requisiti in materia di TIC atti a garantire, in particolare, la sicurezza, la disponibilità, la continuità, la scalabilità e la qualità dei servizi che il fornitore terzo critico di servizi TIC presta alle entità finanziarie, nonché la capacità di mantenere standard di, disponibilità, autenticità, integrità o riservatezza dei dati costantemente elevati;
b)
la sicurezza fisica che contribuisce a mantenere la sicurezza delle TIC, compresa la sicurezza dei locali, delle attrezzature e dei centri di elaborazione dati;
c)
i processi di gestione del rischio, comprese le politiche di gestione dei rischi informatici, la politica di continuità operativa delle TIC e i piani di risposta e ripristino relativi alle TIC;
d)
i meccanismi di governance, compresa una struttura organizzativa dotata di linee e norme in materia di responsabilità chiare, trasparenti e coerenti che consentano un’efficace gestione dei rischi informatici;
e)
l’identificazione, il monitoraggio e la tempestiva segnalazione alle entità finanziarie di incidenti significativi connessi alle TIC, la gestione e la risoluzione di tali incidenti, in particolare degli attacchi informatici;
f)
i meccanismi per la portabilità dei dati, la portabilità e l’interoperabilità delle applicazioni, per assicurare un effettivo esercizio dei diritti di risoluzione da parte delle entità finanziarie;
g)
i test su sistemi, infrastrutture e controlli relativi alle TIC;
h)
gli audit in materia di TIC;
i)
l’utilizzo dei pertinenti standard nazionali e internazionali applicabili alla fornitura dei servizi TIC alle entità finanziarie.
4. Sulla base della valutazione di cui al paragrafo 2, e in coordinamento con la rete di sorveglianza comune di cui all’, paragrafo 1, l’autorità di sorveglianza capofila adotta un piano di sorveglianza individuale chiaro, dettagliato e motivato che descrive gli obiettivi annuali in materia di sorveglianza e le principali azioni di sorveglianza previste per ciascun fornitore terzo critico di servizi TIC. Tale piano è comunicato annualmente al fornitore terzo critico di servizi TIC.
Prima dell’adozione del piano di sorveglianza, l’autorità di sorveglianza capofila comunica il progetto di piano di sorveglianza al fornitore terzo critico di servizi TIC.
Al ricevimento del progetto di piano di sorveglianza, il fornitore terzo critico di servizi TIC può presentare, entro 15 giorni di calendario, una dichiarazione motivata che dimostri l’impatto previsto sui clienti che sono entità che non rientrano nell’ambito di applicazione del presente regolamento e, se del caso, formuli soluzioni per attenuare i rischi.
5. Allorché i piani di sorveglianza annuali di cui al paragrafo 4 sono stati adottati e notificati ai fornitori terzi critici di servizi TIC, le autorità competenti possono adottare misure concernenti tali fornitori terzi critici di servizi TIC soltanto in accordo con l’autorità di sorveglianza capofila.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg:2022:2554:oj#art-33