Art. 9
Monitoraggio degli accordi contrattuali
In vigore dal 13 mar 2024
Monitoraggio degli accordi contrattuali
1. La politica prescrive che gli accordi contrattuali specifichino le misure e gli indicatori chiave per monitorare, su base continuativa, le prestazioni dei fornitori terzi di servizi TIC, comprese le misure per monitorare la conformità ai requisiti di riservatezza, disponibilità, integrità e autenticità dei dati e delle informazioni, e la conformità dei fornitori terzi di servizi TIC alle politiche e alle procedure pertinenti dell’entità finanziaria. La politica specifica anche le misure applicabili in caso di mancato rispetto degli accordi sul livello dei servizi, comprese le penali contrattuali, se del caso.
2. La politica specifica le modalità con cui l’entità finanziaria è tenuta a valutare se i fornitori terzi di servizi TIC utilizzati per i servizi TIC a supporto di funzioni essenziali o importanti soddisfano standard di prestazione e di qualità adeguati, in linea con l’accordo contrattuale e con le politiche dell’entità finanziaria stessa. La politica garantisce in particolare:
a)
che i fornitori terzi di servizi TIC forniscano all’entità finanziaria relazioni adeguate sulle loro attività e sui loro servizi, tra cui relazioni periodiche, relazioni sugli incidenti, relazioni sull’erogazione dei servizi, relazioni sulla sicurezza delle TIC e relazioni sulle misure e sui test di continuità operativa;
b)
che le prestazioni dei fornitori terzi di servizi TIC siano valutate mediante indicatori chiave di prestazione, indicatori chiave di controllo, audit, autocertificazioni e revisioni indipendenti in linea con il quadro per la gestione dei rischi informatici dell’entità finanziaria;
c)
che l’entità finanziaria riceva altre informazioni pertinenti dai fornitori terzi di servizi TIC;
d)
che all’entità finanziaria siano notificati, se del caso, gli incidenti connessi alle TIC e gli incidenti operativi o di sicurezza dei pagamenti;
e)
che si proceda a revisioni e audit indipendenti che verifichino la conformità alle politiche e ai requisiti di natura legale e regolamentare.
3. La politica specifica che la valutazione di cui al paragrafo 2 deve essere documentata e i suoi risultati devono essere utilizzati per aggiornare la valutazione dei rischi dell’entità finanziaria di cui all’.
4. La politica stabilisce le opportune misure che l’entità finanziaria deve adottare se individua carenze dei fornitori terzi di servizi TIC, compresi gli incidenti connessi alle TIC e gli incidenti operativi o di sicurezza dei pagamenti, nella fornitura di servizi TIC a supporto di funzioni essenziali o importanti o nel rispetto degli accordi contrattuali o dei requisiti di natura legale. Essa specifica inoltre le modalità di monitoraggio dell’attuazione di tali misure, al fine di garantirne l’effettiva osservanza entro un periodo di tempo definito, tenendo conto della rilevanza delle carenze.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1773:oj#art-9