Sintesi Articolo 5
DORA stabilisce che le entità finanziarie debbano stabilire un solido quadro di governance interna e controllo focalizzato sulla gestione efficace dei rischi relativi alle Tecnologie dell’Informazione e della Comunicazione (TIC). L’organo direttivo dell’entità è responsabile della definizione, approvazione e supervisione di tutte le politiche di gestione dei rischi TIC. Queste politiche dovrebbero mirare a mantenere alti standard di disponibilità, autenticità, integrità e riservatezza dei dati. La direzione è inoltre incaricata di stabilire ruoli chiari per le funzioni relative alle TIC, approvare piani di continuità operativa e recupero, e allocare budget adeguati per la resilienza digitale. Inoltre, i membri dell’organo direttivo sono tenuti a rimanere informati e formati sui rischi TIC e sul loro potenziale impatto sulle operazioni dell’entità.
- Le entità finanziarie predispongono un quadro di gestione e di controllo interno che garantisce una gestione efficace e prudente di tutti i rischi informatici, conformemente all’articolo 6, paragrafo 4, al fine di acquisire un elevato livello di resilienza operativa digitale.
- L’organo di gestione dell’entità finanziaria definisce e approva l’attuazione di tutte le disposizioni concernenti il quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, vigila su tale attuazione e ne è responsabile. Ai fini del primo comma, l’organo di gestione:
- a) assume la responsabilità finale per la gestione dei rischi informatici dell’entità finanziaria;
- b) predispone politiche miranti a garantire il mantenimento di standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati;
- c) definisce chiaramente ruoli e responsabilità per tutte le funzioni connesse alle TIC e stabilisce adeguati meccanismi di governance al fine di garantire una comunicazione, una cooperazione e un coordinamento efficaci e tempestivi tra tali funzioni;
- d) ha la responsabilità generale di definire e approvare la strategia di resilienza operativa digitale di cui all’articolo 6, paragrafo 8, compresa la determinazione del livello appropriato di tolleranza per i rischi informatici dell’entità finanziaria, ai sensi dell’articolo 6, paragrafo 8, lettera b);
- e) approva, supervisiona e riesamina periodicamente l’attuazione della politica di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC dell’entità finanziaria, di cui rispettivamente all’articolo 11, paragrafi 1 e 3, che possono essere adottati come politica specifica dedicata che costituisce parte integrante della politica generale di continuità operativa e del piano di risposta e ripristino dell’entità finanziaria;
- f) approva e riesamina periodicamente i piani interni di audit in materia di TIC dell’entità finanziaria, gli audit in materia di TIC e le più importanti modifiche a essi apportate;
- g) assegna e riesamina periodicamente le risorse finanziarie adeguate per soddisfare le esigenze di resilienza operativa digitale dell’entità finanziaria rispetto a tutti i tipi di risorse, compresi i pertinenti programmi di sensibilizzazione sulla sicurezza delle TIC e le attività di formazione sulla resilienza operativa digitale di cui all’articolo 13, paragrafo 6, nonché le competenze in materia di TIC per tutto il personale;
- h) approva e riesamina periodicamente la politica dell’entità finanziaria relativa alle modalità per l’uso dei servizi TIC prestati dal fornitore terzo di servizi TIC;
- i) istituisce a livello aziendale canali di comunicazione che gli consentono di essere debitamente informato in merito a quanto segue:
- i) gli accordi conclusi con i fornitori terzi di servizi TIC sull’uso di tali servizi;
- ii) le relative eventuali modifiche importanti e pertinenti previste riguardo ai fornitori terzi di servizi TIC;
- iii) il potenziale impatto di tali modiche sulle funzioni essenziali o importanti soggette agli accordi in questione, compresa una sintesi dell’analisi del rischio per valutare l’impatto di tali modifiche, nonché almeno i gravi incidenti TIC e il loro impatto, le misure di risposta e ripristino e le misure correttive.
- Le entità finanziarie diverse dalle microimprese istituiscono un ruolo al fine di monitorare gli accordi conclusi con i fornitori terzi di servizi TIC per l’uso di tali servizi, oppure designano un dirigente di rango elevato quale responsabile della sorveglianza sulla relativa esposizione al rischio e sulla documentazione pertinente.
- I membri dell’organo di gestione dell’entità finanziaria mantengono attivamente aggiornate conoscenze e competenze adeguate per comprendere e valutare i rischi informatici e il loro impatto sulle operazioni dell’entità finanziaria, anche seguendo una formazione specifica su base regolare, commisurata ai rischi informatici gestiti.