Articolo 15 – Ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio informatico

Sintesi Articolo 15

Le Autorità di Vigilanza Europee (ESAs) sono incaricate di sviluppare progetti comuni di norme tecniche regolamentari in consultazione con l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA). Queste norme mirano a dettagliare ulteriormente vari componenti della gestione del rischio TIC per le entità finanziarie, inclusi politiche di sicurezza, controlli di gestione degli accessi, meccanismi di rilevamento di attività anomale e piani di continuità aziendale. Le ESAs considereranno le dimensioni, il profilo di rischio e la complessità operativa di ciascuna entità finanziaria nello sviluppo di queste norme. La bozza deve essere presentata alla Commissione entro il 17 gennaio 2024 e servirà a integrare le normative esistenti.

Tramite il comitato congiunto e in consultazione con l’Agenzia dell’Unione europea per la cibersicurezza (ENISA), le AEV elaborano progetti di norme tecniche di regolamentazione comuni al fine di:

a) specificare ulteriori elementi da inserire nelle strategie, nelle politiche, nelle procedure, nei protocolli e negli strumenti in materia di sicurezza delle TIC di cui all’articolo 9, paragrafo 2, allo scopo di garantire la sicurezza delle reti, introdurre salvaguardie adeguate contro le intrusioni e l’uso improprio dei dati, preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, inserire tecniche crittografiche e assicurare un’accurata e pronta trasmissione dei dati senza gravi perturbazioni né indebiti ritardi;

b) sviluppare ulteriori componenti dei controlli sui diritti di gestione dell’accesso di cui all’articolo 9, paragrafo 4, lettera c), e della relativa politica di risorse umane, precisando i diritti di accesso, le procedure per concedere e revocare i diritti, il monitoraggio di comportamenti anomali in relazione ai rischi informatici mediante indicatori appropriati, compresi i modelli di utilizzo della rete, gli orari, l’attività informatica e i dispositivi sconosciuti;

c) elaborare ulteriormente i meccanismi specificati all’articolo 10, paragrafo 1, in modo da consentire un’individuazione tempestiva delle attività anomale, e i criteri di cui all’articolo 10, paragrafo 2, per l’avvio dei processi di individuazione degli incidenti connessi alle TIC e di risposta agli stessi;

d) specificare ulteriormente le componenti della politica di continuità operativa delle TIC di cui all’articolo 11, paragrafo 1;

e) specificare ulteriormente i test sui piani di continuità operativa delle TIC di cui all’articolo 11, paragrafo 6, per garantire che tali test tengano debitamente conto degli scenari in cui la qualità dell’esercizio di una funzione essenziale o importante si deteriora a un livello inaccettabile o viene meno, e che considerino adeguatamente il potenziale impatto dell’insolvenza o di altre disfunzioni di pertinenti fornitori terzi di servizi TIC e, se del caso, i rischi politici nelle giurisdizioni dei rispettivi fornitori;

f) specificare ulteriormente le componenti dei piani di risposta e ripristino relativi alle TIC di cui all’articolo 11, paragrafo 3;

g) specificare ulteriormente il contenuto e il formato della relazione sul riesame del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 5.

All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni, tenendo debitamente conto di eventuali caratteristiche specifiche derivanti dalla natura distinta delle attività nei diversi settori dei servizi finanziari.

Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 gennaio 2024.

Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al primo comma in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.

Tutti gli articoli