Sintesi Articolo 33
L’Autorità di Sorveglianza Capofila è designata come il punto principale di contatto per la supervisione dei fornitori di servizi di terze parti TIC critici. La sorveglianza si concentra sulla valutazione se questi fornitori hanno regole e procedure robuste per gestire i rischi che le TIC potrebbero rappresentare per le entità finanziarie. Questa valutazione è completa e copre aspetti come la sicurezza TIC, la sicurezza fisica, i processi di gestione del rischio, gli accordi di governance, la segnalazione degli incidenti, la portabilità dei dati, i test di sistema e la conformità agli standard pertinenti. Sulla base di questa valutazione, l’Autorità di Sorveglianza Capofila, in coordinamento con la Rete di Sorveglianza Congiunta, sviluppa un piano di sorveglianza annuale che dettaglia gli obiettivi e le azioni per ciascun fornitore critico. Questo piano viene comunicato al fornitore, che può fornire feedback, specialmente riguardo agli impatti su entità al di fuori del campo di applicazione della normativa. Una volta che il piano è finalizzato, qualsiasi misura riguardante il fornitore deve essere concordata con l’Autorità di Sorveglianza Capofila.
- L’autorità di sorveglianza capofila, nominata conformemente all’articolo 31, paragrafo 1, lettera b), effettua la sorveglianza dei fornitori terzi critici di servizi TIC assegnati e, ai fini di tutte le questioni relative alla sorveglianza, è il principale punto di contatto per tali fornitori terzi critici di servizi TIC.
- Ai fini del paragrafo 1, l’autorità di sorveglianza capofila valuta se ciascun fornitore terzo critico di servizi TIC abbia predisposto norme, procedure, meccanismi e accordi esaustivi, solidi ed efficaci per gestire i rischi informatici cui esso può esporre le entità finanziarie. La valutazione di cui al primo comma si concentra principalmente sui servizi TIC forniti dal fornitore terzo critico di servizi TIC a supporto di funzioni essenziali o importanti delle entità finanziarie. Se necessario per affrontare tutti i rischi pertinenti, tale valutazione si estende ai servizi TIC a supporto di funzioni diverse da quelle essenziali o importanti.
- La valutazione di cui al paragrafo 2 riguarda:
- a) requisiti in materia di TIC atti a garantire, in particolare, la sicurezza, la disponibilità, la continuità, la scalabilità e la qualità dei servizi che il fornitore terzo critico di servizi TIC presta alle entità finanziarie, nonché la capacità di mantenere standard di disponibilità, autenticità, integrità o riservatezza dei dati costantemente elevati;
- b) la sicurezza fisica che contribuisce a mantenere la sicurezza delle TIC, compresa la sicurezza dei locali, delle attrezzature e dei centri di elaborazione dati;
- c) i processi di gestione del rischio, comprese le politiche di gestione dei rischi informatici, la politica di continuità operativa delle TIC e i piani di risposta e ripristino relativi alle TIC;
- d) i meccanismi di governance, compresa una struttura organizzativa dotata di linee e norme in materia di responsabilità chiare, trasparenti e coerenti che consentano un’efficace gestione dei rischi informatici;
- e) l’identificazione, il monitoraggio e la tempestiva segnalazione alle entità finanziarie di incidenti significativi connessi alle TIC, la gestione e la risoluzione di tali incidenti, in particolare degli attacchi informatici;
- f) i meccanismi per la portabilità dei dati, la portabilità e l’interoperabilità delle applicazioni, per assicurare un effettivo esercizio dei diritti di risoluzione da parte delle entità finanziarie;
- g) i test su sistemi, infrastrutture e controlli relativi alle TIC;
- h) gli audit in materia di TIC;
- i) l’utilizzo dei pertinenti standard nazionali e internazionali applicabili alla fornitura dei servizi TIC alle entità finanziarie.
- Sulla base della valutazione di cui al paragrafo 2, e in coordinamento con la rete di sorveglianza comune di cui all’articolo 34, paragrafo 1, l’autorità di sorveglianza capofila adotta un piano di sorveglianza individuale chiaro, dettagliato e motivato che descrive gli obiettivi annuali in materia di sorveglianza e le principali azioni di sorveglianza previste per ciascun fornitore terzo critico di servizi TIC. Tale piano è comunicato annualmente al fornitore terzo critico di servizi TIC. Prima dell’adozione del piano di sorveglianza, l’autorità di sorveglianza capofila comunica il progetto di piano di sorveglianza al fornitore terzo critico di servizi TIC. Al ricevimento del progetto di piano di sorveglianza, il fornitore terzo critico di servizi TIC può presentare, entro 15 giorni di calendario, una dichiarazione motivata che dimostri l’impatto previsto sui clienti che sono entità che non rientrano nell’ambito di applicazione del presente regolamento e, se del caso, formuli soluzioni per attenuare i rischi.
- Allorché i piani di sorveglianza annuali di cui al paragrafo 4 sono stati adottati e notificati ai fornitori terzi critici di servizi TIC, le autorità competenti possono adottare misure concernenti tali fornitori terzi critici di servizi TIC soltanto in accordo con l’autorità di sorveglianza capofila.