Sintesi Articolo 11
DORA richiede che le entità finanziarie stabiliscano una robusta politica di continuità aziendale TIC come parte del loro quadro complessivo di gestione del rischio. Questa politica dovrebbe mirare a garantire la continuità delle funzioni critiche, rispondere efficacemente agli incidenti legati alle TIC, e attivare piani di risposta e recupero su misura. Le entità devono anche condurre un’Analisi dell’Impatto Aziendale (BIA) per valutare l’impatto potenziale di gravi interruzioni. È obbligatorio il test regolare e la revisione di questi piani, specialmente nel contesto di attacchi informatici. È richiesta una funzione dedicata di gestione delle crisi per le entità più grandi. Devono essere mantenuti i registri delle attività durante le interruzioni, e le entità finanziarie possono essere tenute a riferire ai competenti organi di controllo i costi annuali stimati e le perdite dovute a gravi incidenti TIC.
- All’interno del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, e in base ai requisiti di identificazione stabiliti all’articolo 8, le entità finanziarie predispongono una politica di continuità operativa delle TIC esaustiva, la quale può essere adottata come una politica specifica dedicata che costituisce parte integrante della politica generale di continuità operativa dell’entità finanziaria.
- Le entità finanziarie attuano la politica di continuità operativa delle TIC tramite accordi, piani, procedure e meccanismi appositi, appropriati e documentati, miranti a:
- a) garantire la continuità delle funzioni essenziali o importanti dell’entità finanziaria;
- b) rispondere in maniera rapida, appropriata ed efficace e trovare una soluzione a tutti gli incidenti connessi alle TIC, in modo da limitare i danni e privilegiare la ripresa delle attività e le azioni di ripristino;
- c) attivare senza ritardo piani dedicati che prevedano tecnologie, processi e misure di contenimento idonei a ciascun tipo di incidente connesso alle TIC e a scongiurare danni ulteriori, nonché procedure mirate di risposta e ripristino stabilite in conformità dell’articolo 12;
- d) stimare in via preliminare impatti, danni e perdite;
- e) stabilire azioni di comunicazione e gestione delle crisi che assicurino la trasmissione di informazioni aggiornate a tutto il personale interno interessato e ai portatori di interessi esterni, conformemente all’articolo 14, e comunicare tali informazioni alle autorità competenti, conformemente all’articolo 19.
- All’interno del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, le entità finanziarie attuano i piani di risposta e ripristino relativi alle TIC associati; per le entità finanziarie diverse dalle microimprese tali piani sono soggetti a un audit interno indipendente.
- Le entità finanziarie predispongono, mantengono e testano periodicamente opportuni piani di continuità operativa delle TIC, in particolare per quanto riguarda le funzioni essenziali o importanti esternalizzate o appaltate tramite accordi con fornitori terzi di servizi TIC.
- Nell’ambito della politica generale di continuità operativa, le entità finanziarie effettuano un’analisi dell’impatto sulle attività aziendali (Business Impact Analysis — BIA) delle loro esposizioni a gravi perturbazioni delle attività. Nel quadro della BIA, le entità finanziarie valutano l’impatto potenziale di gravi perturbazioni delle attività mediante criteri quantitativi e qualitativi, utilizzando, se del caso, dati interni ed esterni e analisi di scenario. La BIA tiene conto della criticità delle funzioni commerciali, dei processi di supporto, delle dipendenze da terzi e dei patrimoni informativi individuati e mappati, nonché delle loro interdipendenze. Le entità finanziarie provvedono affinché le risorse TIC e i servizi TIC siano progettati e utilizzati in piena conformità con la BIA, in particolare garantendo adeguatamente la ridondanza di tutte le componenti essenziali.
- All’interno della gestione complessiva dei rischi informatici, le entità finanziarie:
- a) testano i piani di continuità operativa delle TIC e i piani di risposta e ripristino relativi alle TIC in relazione ai sistemi di TIC a supporto di tutte le funzioni almeno una volta all’anno nonché in caso di modifiche di rilievo ai sistemi di TIC a supporto di funzioni essenziali o importanti;
- b) testano i piani di comunicazione delle crisi istituiti in conformità dell’articolo 14. Ai fini del primo comma, lettera a), le entità finanziarie diverse dalle microimprese inseriscono nei piani dei test scenari di attacchi informatici e del passaggio tra le infrastrutture delle TIC primarie e la capacità ridondante, i backup e le attrezzature ridondanti necessarie per soddisfare gli obblighi di cui all’articolo 12. Le entità finanziarie riesaminano periodicamente la politica di continuità operativa delle TIC e i piani di risposta e ripristino relativi alle TIC, tenendo conto dei risultati dei test svolti in conformità del primo comma e delle raccomandazioni formulate sulla base dei controlli di audit o degli esami di vigilanza.
- Le entità finanziarie diverse dalle microimprese si dotano di una funzione di gestione delle crisi che, in caso di attivazione dei piani di continuità operativa delle TIC o dei piani di risposta e ripristino relativi alle TIC, fissa, tra l’altro, procedure chiare per la gestione della comunicazione interna ed esterna delle crisi, in conformità dell’articolo 14.
- Le entità finanziarie rendono prontamente accessibili le registrazioni delle attività svolte prima e durante le perturbazioni in cui vengono attivati i piani di continuità operativa delle TIC e i piani di risposta e ripristino relativi alle TIC.
- Le controparti centrali trasmettono alle autorità competenti copie dei risultati dei test di continuità operativa delle TIC o di esercizi analoghi.
- Le entità finanziarie, diverse dalle microimprese, comunicano alle autorità competenti, su loro richiesta di queste ultime, una stima dei costi e delle perdite annuali aggregati causati da incidenti gravi connessi alle TIC.
- A norma dell’articolo 16 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010, le AEV elaborano, tramite il comitato congiunto, entro il 17 luglio 2024 orientamenti comuni sulla stima dei costi e delle perdite annuali aggregati di cui al paragrafo 10.