Sintesi Articolo 14
DORA stabilisce che le entità finanziarie devono istituire piani di comunicazione di crisi per divulgare incidenti o vulnerabilità legate alle TIC a clienti, controparti e pubblico. Questi piani sono parte di un più ampio quadro di gestione del rischio TIC. Le entità sono inoltre tenute ad avere politiche di comunicazione interna ed esterna, differenziando tra i ruoli del personale nella gestione del rischio TIC. Almeno una persona all’interno di ogni entità finanziaria è designata per attuare questa strategia di comunicazione e gestire le interazioni con il pubblico e i media relative agli incidenti TIC.
- All’interno del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, le entità finanziarie predispongono piani di comunicazione delle crisi che consentano una divulgazione responsabile di informazioni riguardanti, almeno, gravi incidenti connessi alle TIC o vulnerabilità ai clienti e alle controparti nonché al pubblico, a seconda dei casi.
- All’interno del quadro per la gestione dei rischi informatici, le entità finanziarie attuano politiche di comunicazione per il personale interno e per i portatori di interessi esterni. Le politiche di comunicazione per il personale tengono conto dell’esigenza di operare un distinguo tra il personale coinvolto nella gestione dei rischi informatici, in particolare il personale responsabile della risposta e del ripristino, e il personale che è necessario informare.
- Nell’entità finanziaria vi è almeno una persona incaricata di attuare la strategia di comunicazione per gli incidenti connessi alle TIC e assolvere a tal fine la funzione di informazione al pubblico e ai media.