Articolo 13 – Apprendimento ed evoluzione

Sintesi Articolo 13

DORA richiede che le entità finanziarie siano attrezzate per raccogliere informazioni su minacce e vulnerabilità informatiche e valutarne l’impatto sulla resilienza operativa digitale. Dopo un importante incidente legato alle TIC, queste entità sono tenute a condurre una revisione approfondita per analizzare le cause e l’efficacia della loro risposta, e riferire le modifiche alle autorità competenti. L’apprendimento continuo dai test di resilienza e dagli incidenti reali dovrebbe essere integrato nel processo di valutazione del rischio TIC. Le entità sono inoltre tenute a monitorare l’efficacia della loro strategia di resilienza operativa digitale, sviluppare programmi di formazione del personale sulla sicurezza delle TIC e mantenersi aggiornate sugli sviluppi tecnologici rilevanti. Questo approccio globale mira a potenziare la maturità e la preparazione informatica delle entità finanziarie.

  1. Le entità finanziare dispongono capacità e personale per raccogliere informazioni in relazione alle vulnerabilità e alle minacce informatiche, agli incidenti connessi alle TIC, in particolare agli attacchi informatici, e analizzarne i probabili effetti sulla loro resilienza operativa digitale.
  2. Dopo che un grave incidente connesso alle TIC ha perturbato le loro attività principali, le entità finanziarie svolgono un riesame successivo a tale incidente che analizzi le cause della perturbazione e identifichi i miglioramenti che è necessario apportare alle operazioni riguardanti le TIC o nell’ambito della politica di continuità operativa delle TIC di cui all’articolo 11. Le entità finanziarie diverse dalle microimprese comunicano, su richiesta, alle autorità competenti le modifiche attuate a seguito del riesame successivo all’incidente connesso alle TIC di cui al primo comma. Il riesame successivo all’incidente connesso alle TIC di cui al primo comma determina se le procedure stabilite siano state seguite e se le azioni adottate siano state efficaci, anche in relazione:
    • a) alla tempestività della risposta agli allarmi di sicurezza e alla determinazione dell’impatto degli incidenti connessi alle TIC e della loro gravità;
    • b) alla qualità e alla rapidità dell’analisi forense, ove ritenuto opportuno;
    • c) all’efficacia della procedura di attivazione dei livelli successivi di intervento in caso di incidenti all’interno dell’entità finanziaria;
    • d) all’efficacia della comunicazione interna ed esterna.
  3. Gli insegnamenti tratti dai test sulla resilienza operativa digitale effettuati in conformità degli articoli 26 e 27 e da incidenti connessi alle TIC realmente avvenuti, in particolare attacchi informatici, insieme alle difficoltà riscontrate al momento dell’attivazione dei piani di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC, nonché le informazioni pertinenti scambiate con le controparti e valutate nel corso degli esami di vigilanza sono debitamente e costantemente integrati nel processo di valutazione dei rischi informatici. Tali risultanze costituiscono la base per opportune revisioni delle relative componenti del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1.
  4. Le entità finanziarie monitorano l’efficacia dell’attuazione della loro strategia di resilienza operativa digitale stabilita all’articolo 6, paragrafo 8. Tracciano l’evoluzione nel tempo dei rischi informatici, analizzano la frequenza, i tipi, le dimensioni e l’evoluzione degli incidenti connessi alle TIC, in particolare gli attacchi informatici e i relativi schemi, al fine di comprendere il livello di esposizione ai rischi informatici — segnatamente in relazione alle funzioni essenziali o importanti — e migliorare la maturità informatica e la preparazione dell’entità finanziaria.
  5. Il personale addetto alle TIC di grado più elevato comunica almeno una volta all’anno all’organo di gestione le risultanze di cui al paragrafo 3 e formula raccomandazioni.
  6. Le entità finanziarie elaborano programmi di sensibilizzazione sulla sicurezza delle TIC nonché attività di formazione sulla resilienza operativa digitale, che rappresentano moduli obbligatori nei programmi di formazione del personale. Tali programmi e attività di formazione riguardano tutti i dipendenti e gli alti dirigenti, e presentano un livello di complessità commisurato all’ambito delle loro funzioni. Se del caso, le entità finanziarie includono anche i fornitori terzi di servizi TIC nei loro sistemi di formazione pertinenti, conformemente all’articolo 30, paragrafo 2, lettera i).
  7. Le entità finanziarie diverse dalle microimprese monitorano costantemente i pertinenti sviluppi tecnologici, anche al fine di comprendere i possibili effetti dell’impiego di tali nuove tecnologie sui requisiti in materia di sicurezza delle TIC e sulla resilienza operativa digitale. Si tengono aggiornate sui più recenti processi di gestione dei rischi informatici, in modo da contrastare efficacemente le forme nuove o già esistenti di attacchi informatici.

Tutti gli articoli