Sintesi Articolo 17
Le entità finanziarie sono tenute a creare un processo di gestione degli incidenti correlati alle TIC per rilevare, gestire e segnalare tali incidenti. Questo processo dovrebbe includere indicatori di avvertimento precoce, categorizzazione degli incidenti per priorità e gravità, e ruoli e responsabilità chiaramente definiti. Dovrebbe anche delineare piani di comunicazione per il personale e le parti interessate esterne, e garantire che gli incidenti principali siano segnalati alla direzione. L’obiettivo è identificare le cause principali e prevenire future occorrenze, assicurando nel contempo il ripristino tempestivo dei servizi.
- Le entità finanziarie definiscono, stabiliscono e attuano un processo di gestione degli incidenti connessi alle TIC al fine di individuare, gestire e notificare tali incidenti.
- Le entità finanziarie registrano tutti gli incidenti connessi alle TIC e le minacce informatiche significative. Le entità finanziarie istituiscono procedure e processi appropriati per garantire, in maniera coerente e integrata, il monitoraggio e il trattamento degli incidenti connessi alle TIC, nonché il relativo seguito, in modo da identificare, documentare e affrontare le cause di fondo e prevenire il verificarsi di tali incidenti.
- Il processo di gestione degli incidenti connessi alle TIC di cui al paragrafo 1:
- a) predispone indicatori di allerta precoce;
- b) stabilisce procedure per identificare, tracciare, registrare, categorizzare e classificare gli incidenti connessi alle TIC in base alla loro priorità e gravità e in base alla criticità dei servizi colpiti, conformemente ai criteri di cui all’articolo 18, paragrafo 1;
- c) assegna i ruoli e le responsabilità che è necessario attivare per i diversi scenari e tipi di incidenti connessi alle TIC;
- d) elabora piani per la comunicazione al personale, ai portatori di interessi esterni e ai mezzi di comunicazione conformemente all’articolo 14, nonché per la notifica ai clienti, per le procedure di attivazione dei livelli successivi di intervento, compresi i reclami dei clienti in materia di TIC, e per la comunicazione di informazioni alle entità finanziarie che agiscono da controparti, a seconda dei casi;
- e) assicura la segnalazione almeno degli incidenti gravi connessi alle TIC agli alti dirigenti interessati e informa l’organo di gestione almeno in merito a detti incidenti, illustrandone l’impatto e la risposta e i controlli supplementari da introdurre;
- f) stabilisce procedure di risposta agli incidenti connessi alle TIC per attenuarne l’impatto e garantisce tempestivamente l’operatività e la sicurezza dei servizi.