Art. 6
Dovuta diligenza
In vigore dal 13 mar 2024
Dovuta diligenza
1. La politica definisce un processo adeguato e proporzionato per la selezione e la valutazione dei potenziali fornitori terzi di servizi TIC, che consideri se il fornitore terzo di servizi TIC sia o no un fornitore di servizi TIC infragruppo, e prevede che l’entità finanziaria valuti, prima di concludere un accordo contrattuale, se il fornitore terzo di servizi TIC:
a)
gode della reputazione commerciale, possiede sufficienti capacità e competenze nonché adeguate risorse finanziarie, umane e tecniche, è dotato di standard in materia di sicurezza dell’informazione e di una struttura organizzativa adeguata, attua la gestione dei rischi e i controlli interni e, se del caso, dispone delle necessarie autorizzazioni o registrazioni per fornire i servizi TIC a supporto della funzione essenziale o importante in modo affidabile e professionale;
b)
possiede la capacità di monitorare i pertinenti sviluppi tecnologici e di individuare le pratiche di punta in materia di sicurezza delle TIC e di attuarle, ove opportuno, per disporre di un quadro di resilienza operativa digitale efficace e solido;
c)
ricorre o intende ricorrere a subappaltatori TIC per l’esecuzione dei servizi TIC a supporto di funzioni essenziali o importanti o di parti significative di essi;
d)
è situato in un paese terzo oppure tratta o conserva i dati in un paese terzo e, in tal caso, se tale pratica incide sul livello dei rischi operativi o reputazionali o sul rischio di incorrere in misure restrittive, inclusi embarghi e sanzioni, che potrebbero influire sulla capacità del fornitore terzo di servizi TIC di prestare i servizi TIC o dell’entità finanziaria di ricevere tali servizi TIC;
e)
aderisce ad accordi contrattuali che garantiscono all’entità finanziaria stessa, a terze parti designate e alle autorità competenti l’effettiva possibilità di effettuare audit presso il fornitore terzo di servizi TIC, anche in loco;
f)
agisce in modo etico e socialmente responsabile, rispetta i diritti umani e i diritti dei minori, compreso il divieto di lavoro minorile, rispetta i principi applicabili in materia di tutela ambientale e garantisce condizioni di lavoro adeguate.
2. La politica specifica il livello di garanzia richiesto in merito all’efficacia del quadro per la gestione dei rischi dei fornitori terzi di servizi TIC per i servizi TIC a supporto di funzioni essenziali o importanti che devono essere prestati da un fornitore terzo. La politica prevede che il processo di dovuta diligenza includa una valutazione dell’esistenza, presso il fornitore terzo di servizi TIC, di misure di attenuazione dei rischi e di continuità operativa e delle modalità per garantirne il funzionamento.
3. La politica stabilisce il processo di dovuta diligenza per la selezione e la valutazione dei potenziali fornitori terzi di servizi TIC e indica quali degli elementi seguenti devono essere utilizzati per il livello di garanzia richiesto in merito alle prestazioni del fornitore terzo di servizi TIC:
a)
audit o valutazioni indipendenti effettuati dall’entità finanziaria stessa o per suo conto;
b)
relazioni di audit indipendenti redatte su richiesta del fornitore terzo di servizi TIC;
c)
relazioni di audit effettuate dalla funzione di audit interno del fornitore terzo di servizi TIC;
d)
idonee certificazioni di terze parti;
e)
altre informazioni pertinenti a disposizione dell’entità finanziaria o altre informazioni provenienti dal fornitore terzo di servizi TIC.
4. Le entità finanziarie assicurano un livello adeguato di garanzia in merito alle prestazioni del fornitore terzo di servizi TIC, tenendo conto degli elementi elencati al paragrafo 3, lettere da a) a e). Ove opportuno, si utilizza più di un elemento elencato alle lettere di cui sopra.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1773:oj#art-6