Art. 2 · Elementi generali delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC

Art. 2

Elementi generali delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC

In vigore dal 13 mar 2024
Elementi generali delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC 1.   Le entità finanziarie assicurano che le loro politiche per la sicurezza delle TIC, la sicurezza delle informazioni nonché le procedure, i protocolli e gli strumenti correlati di cui all’, paragrafo 2, del regolamento (UE) 2022/2554 siano integrati nel loro quadro per la gestione dei rischi informatici. Le entità finanziarie definiscono politiche, procedure, protocolli e strumenti per la sicurezza delle TIC di cui al presente capo che: a) garantiscono la sicurezza delle reti; b) contengono adeguate salvaguardie contro le intrusioni e l’uso illecito dei dati; c) preservano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, anche con tecniche crittografiche; d) garantiscono un’accurata e pronta trasmissione dei dati senza gravi perturbazioni né indebiti ritardi. 2.   Le entità finanziarie provvedono affinché le politiche per la sicurezza delle TIC di cui al paragrafo 1: a) siano allineate agli obiettivi in materia di sicurezza delle informazioni dell’entità finanziaria inclusi nella strategia di resilienza operativa digitale di cui all’, paragrafo 8, del regolamento (UE) 2022/2554; b) indichino la data di approvazione formale delle politiche per la sicurezza delle TIC da parte dell’organo di gestione; c) contengano indicatori e misure per: i) monitorare l’attuazione delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC; ii) registrare le eccezioni a tale attuazione; iii) garantire la resilienza operativa digitale dell’entità finanziaria nel caso delle eccezioni di cui al punto ii); d) specifichino le responsabilità del personale a tutti i livelli per garantire la sicurezza delle TIC dell’entità finanziaria; e) specifichino le conseguenze dell’inosservanza delle politiche per la sicurezza delle TIC da parte del personale dell’entità finanziaria, laddove non siano previste disposizioni in tal senso in altre politiche dell’entità finanziaria; f) elenchino la documentazione da conservare; g) specifichino le modalità di separazione dei compiti nel contesto del modello delle tre linee di difesa o di un altro modello interno di gestione e controllo del rischio, a seconda dei casi, per evitare conflitti di interessi; h) tengano conto delle pratiche più avanzate e, se del caso, delle norme definite all’, punto 1), del regolamento (UE) n. 1025/2012; i) identifichino i ruoli e le responsabilità per l’elaborazione, l’attuazione e la manutenzione delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC; j) siano sottoposte a riesame in conformità dell’, paragrafo 5, del regolamento (UE) 2022/2554; k) tengano conto di modifiche sostanziali riguardanti l’entità finanziaria, comprese modifiche sostanziali nelle attività o nei processi dell’entità finanziaria, nel panorama delle minacce informatiche o negli obblighi giuridici applicabili.
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

eli:reg_del:2024:1774:oj#art-2