Articolo 5 – Governance e organizzazione

Sintesi Articolo 5

DORA stabilisce che le entità finanziarie debbano stabilire un solido quadro di governance interna e controllo focalizzato sulla gestione efficace dei rischi relativi alle Tecnologie dell’Informazione e della Comunicazione (TIC). L’organo direttivo dell’entità è responsabile della definizione, approvazione e supervisione di tutte le politiche di gestione dei rischi TIC. Queste politiche dovrebbero mirare a mantenere alti standard di disponibilità, autenticità, integrità e riservatezza dei dati. La direzione è inoltre incaricata di stabilire ruoli chiari per le funzioni relative alle TIC, approvare piani di continuità operativa e recupero, e allocare budget adeguati per la resilienza digitale. Inoltre, i membri dell’organo direttivo sono tenuti a rimanere informati e formati sui rischi TIC e sul loro potenziale impatto sulle operazioni dell’entità.

  1. Le entità finanziarie predispongono un quadro di gestione e di controllo interno che garantisce una gestione efficace e prudente di tutti i rischi informatici, conformemente all’articolo 6, paragrafo 4, al fine di acquisire un elevato livello di resilienza operativa digitale.
  2. L’organo di gestione dell’entità finanziaria definisce e approva l’attuazione di tutte le disposizioni concernenti il quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, vigila su tale attuazione e ne è responsabile. Ai fini del primo comma, l’organo di gestione:
    • a) assume la responsabilità finale per la gestione dei rischi informatici dell’entità finanziaria;
    • b) predispone politiche miranti a garantire il mantenimento di standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati;
    • c) definisce chiaramente ruoli e responsabilità per tutte le funzioni connesse alle TIC e stabilisce adeguati meccanismi di governance al fine di garantire una comunicazione, una cooperazione e un coordinamento efficaci e tempestivi tra tali funzioni;
    • d) ha la responsabilità generale di definire e approvare la strategia di resilienza operativa digitale di cui all’articolo 6, paragrafo 8, compresa la determinazione del livello appropriato di tolleranza per i rischi informatici dell’entità finanziaria, ai sensi dell’articolo 6, paragrafo 8, lettera b);
    • e) approva, supervisiona e riesamina periodicamente l’attuazione della politica di continuità operativa delle TIC e dei piani di risposta e ripristino relativi alle TIC dell’entità finanziaria, di cui rispettivamente all’articolo 11, paragrafi 1 e 3, che possono essere adottati come politica specifica dedicata che costituisce parte integrante della politica generale di continuità operativa e del piano di risposta e ripristino dell’entità finanziaria;
    • f) approva e riesamina periodicamente i piani interni di audit in materia di TIC dell’entità finanziaria, gli audit in materia di TIC e le più importanti modifiche a essi apportate;
    • g) assegna e riesamina periodicamente le risorse finanziarie adeguate per soddisfare le esigenze di resilienza operativa digitale dell’entità finanziaria rispetto a tutti i tipi di risorse, compresi i pertinenti programmi di sensibilizzazione sulla sicurezza delle TIC e le attività di formazione sulla resilienza operativa digitale di cui all’articolo 13, paragrafo 6, nonché le competenze in materia di TIC per tutto il personale;
    • h) approva e riesamina periodicamente la politica dell’entità finanziaria relativa alle modalità per l’uso dei servizi TIC prestati dal fornitore terzo di servizi TIC;
    • i) istituisce a livello aziendale canali di comunicazione che gli consentono di essere debitamente informato in merito a quanto segue:
      • i) gli accordi conclusi con i fornitori terzi di servizi TIC sull’uso di tali servizi;
      • ii) le relative eventuali modifiche importanti e pertinenti previste riguardo ai fornitori terzi di servizi TIC;
      • iii) il potenziale impatto di tali modiche sulle funzioni essenziali o importanti soggette agli accordi in questione, compresa una sintesi dell’analisi del rischio per valutare l’impatto di tali modifiche, nonché almeno i gravi incidenti TIC e il loro impatto, le misure di risposta e ripristino e le misure correttive.
  3. Le entità finanziarie diverse dalle microimprese istituiscono un ruolo al fine di monitorare gli accordi conclusi con i fornitori terzi di servizi TIC per l’uso di tali servizi, oppure designano un dirigente di rango elevato quale responsabile della sorveglianza sulla relativa esposizione al rischio e sulla documentazione pertinente.
  4. I membri dell’organo di gestione dell’entità finanziaria mantengono attivamente aggiornate conoscenze e competenze adeguate per comprendere e valutare i rischi informatici e il loro impatto sulle operazioni dell’entità finanziaria, anche seguendo una formazione specifica su base regolare, commisurata ai rischi informatici gestiti.

Tutti gli articoli