Art. 31
Gestione dei rischi informatici
In vigore dal 13 mar 2024
Gestione dei rischi informatici
1. Le entità finanziarie di cui all’, paragrafo 1, del regolamento (UE) 2022/2554 includono nel loro quadro semplificato per la gestione dei rischi informatici tutti gli elementi seguenti:
a)
la determinazione dei livelli di tolleranza per i rischi informatici, conformemente alla propensione al rischio dell’entità finanziaria;
b)
l’identificazione e la valutazione dei rischi informatici a cui l’entità finanziaria è esposta;
c)
la specifica delle strategie di attenuazione almeno per i rischi informatici che non rientrano nei livelli di tolleranza per i rischi dell’entità finanziaria;
d)
il monitoraggio dell’efficacia delle strategie di attenuazione di cui alla lettera c);
e)
l’identificazione e la valutazione dei rischi informatici e di sicurezza delle informazioni derivanti da qualsiasi modifica di rilievo del sistema di TIC o dei servizi TIC, dei processi o delle procedure e dai risultati dei test di sicurezza delle TIC e dopo qualsiasi incidente grave connesso alle TIC.
2. Le entità finanziarie di cui al paragrafo 1 effettuano e documentano periodicamente la valutazione dei rischi informatici in funzione del profilo di rischio informatico delle entità finanziarie.
3. Le entità finanziarie di cui al paragrafo 1 monitorano costantemente le minacce e le vulnerabilità rilevanti per le loro funzioni essenziali o importanti, nonché per i patrimoni informativi e le risorse TIC, e riesaminano regolarmente gli scenari di rischio che hanno un impatto su tali funzioni essenziali o importanti.
4. Le entità finanziarie di cui al paragrafo 1 stabiliscono soglie di allarme e criteri per l’attivazione e l’avvio dei processi di risposta agli incidenti connessi alle TIC.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1774:oj#art-31