Art. 39 · Componenti del piano di continuità operativa delle TIC

Art. 39

Componenti del piano di continuità operativa delle TIC

In vigore dal 13 mar 2024
Componenti del piano di continuità operativa delle TIC 1.   Le entità finanziarie di cui all’, paragrafo 1, del regolamento (UE) 2022/2554 elaborano i loro piani di continuità operativa delle TIC tenendo conto dei risultati dell’analisi della loro esposizione a gravi perturbazioni dell’attività e del loro potenziale impatto, nonché degli scenari a cui potrebbero essere esposte le loro risorse TIC a supporto di funzioni essenziali o importanti, compreso uno scenario di attacco informatico. 2.   I piani di continuità operativa delle TIC di cui al paragrafo 1: a) sono approvati dall’organo di gestione dell’entità finanziaria; b) sono documentati e facilmente accessibili in caso di emergenza o crisi; c) assegnano risorse sufficienti per la loro esecuzione; d) stabiliscono livelli e tempi di ripristino pianificati per il ripristino e la ripresa delle funzioni e delle principali dipendenze interne ed esterne, anche per quanto riguarda i fornitori terzi di servizi TIC; e) identificano le condizioni che potrebbero richiedere l’attivazione dei piani di continuità operativa delle TIC e le azioni da intraprendere per garantire la disponibilità, la continuità e il ripristino delle risorse TIC delle entità finanziarie a supporto di funzioni essenziali o importanti; f) identificano le misure di ripristino e recupero per le funzioni commerciali essenziali o importanti, i processi di supporto, i patrimoni informativi e le loro interdipendenze per evitare effetti negativi sul funzionamento delle entità finanziarie; g) identificano le misure e le procedure di backup che precisano il perimetro dei dati soggetti a backup e la frequenza minima del backup, in base alla criticità della funzione che utilizza tali dati; h) considerano opzioni alternative laddove il ripristino non sia fattibile a breve termine a causa di costi, rischi, logistica o circostanze impreviste; i) specificano le modalità di comunicazione interna ed esterna, compresi i piani di attivazione dei livelli successivi di intervento; j) sono aggiornati in base agli insegnamenti tratti da incidenti, test, nuovi rischi e minacce identificati, a obiettivi di ripristino modificati, a modifiche di rilievo dell’organizzazione dell’entità finanziaria e delle risorse TIC che supportano funzioni commerciali o essenziali. Ai fini della lettera f), le misure di cui alla stessa lettera prevedono l’attenuazione delle disfunzioni dei fornitori terzi critici.
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

eli:reg_del:2024:1774:oj#art-39