Art. 8
Clausole contrattuali
In vigore dal 13 mar 2024
Clausole contrattuali
1. La politica specifica che gli accordi contrattuali pertinenti devono essere in forma scritta e devono includere tutti gli elementi di cui all’articolo 30, paragrafi 2 e 3, del regolamento (UE) 2022/2554. La politica comprende anche elementi relativi agli obblighi di cui all’, paragrafo 1, lettera a), del regolamento (UE) 2022/2554 nonché ad altre normative nazionali e dell’Unione pertinenti, a seconda dei casi.
2. La politica specifica che gli accordi contrattuali pertinenti devono includere il diritto dell’entità finanziaria di accedere alle informazioni, di effettuare ispezioni e audit e di eseguire test sulle TIC. A tal fine, fatta salva la responsabilità finale dell’entità finanziaria, la politica prevede che l’entità finanziaria utilizzi i metodi seguenti:
a)
il proprio audit interno o un audit condotto da una terza parte designata;
b)
se del caso, audit e test TIC congiunti, compresi i test di penetrazione guidati dalla minaccia, organizzati congiuntamente con altre entità finanziarie o imprese contraenti che utilizzano i servizi TIC dello stesso fornitore terzo di servizi TIC e che sono eseguiti da tali entità finanziarie o imprese contraenti o da una terza parte da loro designata;
c)
se del caso, certificazioni di terze parti;
d)
se del caso, relazioni di audit interni o di terze parti rese disponibili dal fornitore terzo di servizi TIC.
3. Nel tempo l’entità finanziaria non si affida esclusivamente alle certificazioni di cui al paragrafo 2, lettera c), o alle relazioni di audit di cui alla lettera d) del medesimo paragrafo. La politica consente l’utilizzo dei metodi di cui al paragrafo 2, lettere c) e d), solo se l’entità finanziaria:
a)
è soddisfatta del piano di audit del fornitore terzo di servizi TIC per gli accordi contrattuali pertinenti;
b)
si assicura che le certificazioni o le relazioni di audit coprono i sistemi e i controlli essenziali da essa individuati e garantisce la conformità ai requisiti regolamentari pertinenti;
c)
valuta in modo accurato il contenuto delle certificazioni o delle relazioni di audit su base continuativa e verifica che le relazioni o le certificazioni non siano obsolete;
d)
si assicura che i sistemi e i controlli essenziali siano coperti nelle versioni future della certificazione o della relazione di audit;
e)
è soddisfatta dell’idoneità del soggetto incaricato della certificazione o dell’audit;
f)
è certa che le certificazioni siano rilasciate e che gli audit siano eseguiti sulla base di norme professionali pertinenti ampiamente riconosciute e includano un test dell’efficacia operativa dei controlli essenziali in essere;
g)
ha il diritto contrattuale di richiedere, con una frequenza ragionevole e legittima dal punto di vista della gestione dei rischi, che l’ambito delle certificazioni o delle relazioni di audit sia modificato per ricomprendere altri sistemi e controlli pertinenti;
h)
ha il diritto contrattuale di eseguire audit individuali e congiunti a sua discrezione in relazione agli accordi contrattuali e di esercitare tali diritti in linea con la frequenza concordata.
4. La politica garantisce che le modifiche sostanziali dell’accordo contrattuale siano formalizzate in un documento scritto recante la data e la firma di tutte le parti e specifica il processo di rinnovo degli accordi contrattuali.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1773:oj#art-8