Art. 6
Cifratura e controlli crittografici
In vigore dal 13 mar 2024
Cifratura e controlli crittografici
1. Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano una politica in materia di cifratura e controlli crittografici.
2. Le entità finanziarie elaborano la politica in materia di cifratura e controlli crittografici di cui al paragrafo 1 sulla base dei risultati di una classificazione dei dati approvata e di una valutazione dei rischi informatici. La politica contiene norme relative a tutti gli aspetti seguenti:
a)
la cifratura dei dati a riposo e in transito;
b)
la cifratura dei dati in uso, ove necessario;
c)
la cifratura delle connessioni di rete interne e del traffico con l’esterno;
d)
la gestione delle chiavi crittografiche di cui all’, che stabilisce le norme sul corretto uso, la protezione e il ciclo di vita delle chiavi crittografiche.
Ai fini della lettera b), qualora non sia possibile la cifratura dei dati in uso, le entità finanziarie trattano i dati in uso in un ambiente separato e protetto o adottano misure equivalenti per garantire la riservatezza, l’integrità, l’autenticità e la disponibilità dei dati.
3. Le entità finanziarie includono nella politica in materia di cifratura e controlli crittografici di cui al paragrafo 1 i criteri per la selezione delle tecniche crittografiche e delle pratiche d’uso, tenendo conto delle pratiche più avanzate e delle norme definite all’, punto 1), del regolamento (UE) n. 1025/2012, e la classificazione delle pertinenti risorse TIC stabilita conformemente all’, paragrafo 1, del regolamento (UE) 2022/2554. Le entità finanziarie che non sono in grado di attenersi alle pratiche o alle norme più avanzate o di utilizzare le tecniche più affidabili adottano misure di attenuazione e di monitoraggio che garantiscano la resilienza alle minacce informatiche.
4. Le entità finanziarie includono nella politica in materia di cifratura e controlli crittografici di cui al paragrafo 1 disposizioni per aggiornare o modificare, se necessario, la tecnologia crittografica sulla base degli sviluppi della crittoanalisi. Tali aggiornamenti o modifiche garantiscono la resilienza della tecnologia crittografica alle minacce informatiche, come stabilito dall’, paragrafo 2, lettera a). Le entità finanziarie che non sono in grado di aggiornare o modificare la tecnologia crittografica adottano misure di attenuazione e di monitoraggio che garantiscano la resilienza alle minacce informatiche.
5. Le entità finanziarie includono nella politica in materia di cifratura e controlli crittografici di cui al paragrafo 1 l’obbligo di registrare l’adozione delle misure di attenuazione e di monitoraggio adottate in conformità dei paragrafi 3 e 4 e di fornire una spiegazione motivata di tale scelta.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg_del:2024:1774:oj#art-6