Art. 10
Gestione delle vulnerabilità e delle patch
In vigore dal 13 mar 2024
Gestione delle vulnerabilità e delle patch
1. Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano procedure per la gestione delle vulnerabilità.
2. Le procedure per la gestione delle vulnerabilità di cui al paragrafo 1:
a)
identificano e aggiornano risorse informative pertinenti e attendibili per creare e mantenere la consapevolezza rispetto alle vulnerabilità;
b)
garantiscono l’esecuzione di scansioni e valutazioni automatizzate delle vulnerabilità delle risorse TIC, la cui frequenza e portata sono commisurate alla classificazione effettuata conformemente all’, paragrafo 1, del regolamento (UE) 2022/2554 e al profilo di rischio complessivo della risorsa TIC;
c)
verificano se:
i)
i fornitori terzi di servizi TIC gestiscono le vulnerabilità relative ai servizi TIC forniti all’entità finanziaria;
ii)
tali fornitori di servizi segnalano all’entità finanziaria almeno le vulnerabilità critiche nonché le statistiche e le tendenze in modo tempestivo;
d)
tengono traccia dell’utilizzo di:
i)
librerie di terze parti, comprese quelle open-source, utilizzate dai servizi TIC a supporto di funzioni essenziali o importanti;
ii)
servizi TIC sviluppati dall’entità finanziaria stessa o specificamente personalizzati o sviluppati per l’entità finanziaria da un fornitore terzo di servizi TIC;
e)
definiscono procedure per la comunicazione responsabile delle vulnerabilità ai clienti, alle controparti e al pubblico;
f)
danno priorità all’applicazione di patch e ad altre misure di attenuazione per risolvere le vulnerabilità identificate;
g)
monitorano e verificano la correzione delle vulnerabilità;
h)
prevedono la registrazione di tutte le vulnerabilità individuate che riguardano i sistemi di TIC e il monitoraggio della loro risoluzione.
Ai fini della lettera b), le entità finanziarie eseguono la scansione e la valutazione automatizzate delle vulnerabilità delle risorse TIC per le risorse TIC che supportano funzioni essenziali o importanti con cadenza almeno settimanale.
Ai fini della lettera c), le entità finanziarie richiedono ai fornitori terzi di servizi TIC di indagare sulle pertinenti vulnerabilità, di determinare le cause di fondo e di attuare le opportune azioni di attenuazione.
Ai fini della lettera d), le entità finanziarie monitorano, se del caso in collaborazione con il fornitore terzo di servizi TIC, la versione e gli eventuali aggiornamenti delle librerie di terze parti. Nel caso di risorse TIC o di componenti di risorse TIC pronti all’uso (disponibili in commercio) acquisiti e utilizzati nell’ambito di servizi TIC che non supportano funzioni essenziali o importanti, le entità finanziarie tracciano l’utilizzo, per quanto possibile, di librerie di terze parti, comprese le librerie open-source.
Ai fini della lettera f), le entità finanziarie considerano la criticità della vulnerabilità, la classificazione effettuata conformemente all’, paragrafo 1, del regolamento (UE) 2022/2554 e il profilo di rischio delle risorse TIC interessate dalle vulnerabilità identificate.
3. Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano procedure per la gestione delle patch.
4. Le procedure per la gestione delle patch di cui al paragrafo 3:
a)
per quanto possibile, identificano e valutano le patch e gli aggiornamenti di software e hardware disponibili utilizzando strumenti automatizzati;
b)
identificano le procedure di emergenza per la correzione mediante patch e l’aggiornamento delle risorse TIC;
c)
testano e applicano le patch di software e hardware e gli aggiornamenti di cui all’, paragrafo 2, lettera b), punti v), vi) e vii);
d)
stabiliscono scadenze per l’installazione di patch e aggiornamenti software e hardware e procedure di attivazione dei livelli successivi di intervento nel caso in cui tali scadenze non possano essere rispettate.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1774:oj#art-10