Articolo 6 – Quadro per la gestione dei rischi informatici

Sintesi Articolo 6

DORA impone che le entità finanziarie stabiliscano un quadro completo di gestione del rischio TIC come parte del loro sistema complessivo di gestione del rischio. Questo quadro dovrebbe includere strategie, politiche e strumenti per proteggere sia le informazioni che gli asset TIC da rischi come l’accesso non autorizzato e i danni. Il quadro deve essere rivisto annualmente e dopo importanti incidenti TIC. Le entità, eccetto le microimprese, devono assegnare una funzione di controllo per la gestione del rischio TIC e garantirne l’indipendenza per evitare conflitti di interesse. Il quadro dovrebbe inoltre sottoporsi a regolari audit interni da parte di revisori qualificati. Inoltre, una strategia di resilienza operativa digitale dovrebbe essere inclusa nel quadro, delineando metodi per affrontare il rischio TIC, stabilire livelli di tolleranza al rischio e stabilire indicatori chiave di prestazione. Le entità finanziarie rimangono responsabili per la gestione del rischio TIC anche se esternalizzano compiti di verifica.

  1. Nell’ambito del sistema di gestione globale del rischio, le entità finanziarie predispongono un quadro per la gestione dei rischi informatici solido, esaustivo e adeguatamente documentato, che consenta loro di affrontare i rischi informatici in maniera rapida, efficiente ed esaustiva, assicurando un elevato livello di resilienza operativa digitale.
  2. Il quadro per la gestione dei rischi informatici comprende almeno strategie, politiche, procedure, protocolli e strumenti in materia di TIC necessari per proteggere debitamente e adeguatamente tutti i patrimoni informativi e le risorse TIC, compresi software, hardware e server, nonché tutte le pertinenti infrastrutture e componenti fisiche, quali i locali, i centri di elaborazione dati e le aree designate come sensibili, così da garantire che tutti i patrimoni informativi e i risorse TIC siano adeguatamente protetti contro i rischi, compresi i danneggiamenti e l’accesso o l’uso non autorizzati.
  3. Conformemente al proprio quadro per la gestione dei rischi informatici, le entità finanziarie riducono al minimo l’impatto dei rischi informatici applicando strategie, politiche, procedure, protocolli e strumenti in materia di TIC adeguati. Forniscono alle autorità competenti, su richiesta di queste ultime, informazioni complete e aggiornate sui rischi informatici e sul proprio quadro per la gestione dei rischi informatici.
  4. Le entità finanziarie diverse dalle microimprese attribuiscono la responsabilità della gestione e della sorveglianza dei rischi informatici a una funzione di controllo, di cui assicurano un livello appropriato d’indipendenza per evitare conflitti d’interessi. Le entità finanziarie garantiscono un’opportuna separazione e indipendenza tra funzioni di gestione dei rischi informatici, funzioni di controllo e funzioni di audit interno, secondo il modello delle tre linee di difesa o secondo un modello interno di controllo e gestione del rischio.
  5. Il quadro per la gestione dei rischi informatici è documentato e riesaminato almeno una volta all’anno, o periodicamente in caso di microimprese, nonché in occasione di gravi incidenti TIC e in seguito a indicazioni o conclusioni delle autorità di vigilanza formulate a seguito di pertinenti test di resilienza operativa digitale o di processi di audit. Il quadro è costantemente migliorato sulla base degli insegnamenti tratti dall’attuazione e dal monitoraggio. È presentata all’autorità competente, su sua richiesta, una relazione in merito al riesame del quadro per la gestione dei rischi informatici.
  6. Il quadro per la gestione dei rischi informatici delle entità finanziarie, diverse dalle microimprese, è sottoposto periodicamente a verifiche di audit interne effettuate da addetti all’audit in linea con i piani di audit delle entità finanziarie. Tali addetti all’audit possiedono conoscenze, competenze ed esperienze adeguate in materia di rischi informatici, nonché un’adeguata indipendenza. La frequenza e l’oggetto delle verifiche di audit in materia di TIC sono commisurati ai rischi connessi alle TIC cui è esposta l’entità finanziaria.
  7. Sulla base delle conclusioni dell’audit interno in materia di TIC, le entità finanziarie istituiscono un procedimento formale per darvi seguito, comprendente regole per la verifica tempestiva delle risultanze critiche e l’adozione di rimedi.
  8. Il quadro per la gestione dei rischi informatici comprende una strategia di resilienza operativa digitale che definisce le modalità di attuazione del quadro. A tal fine, la strategia di resilienza operativa digitale include metodi per affrontare i rischi informatici e conseguire specifici obiettivi in materia di TIC:
    • a) spiegando in che modo il quadro per la gestione dei rischi informatici sostiene gli obiettivi e la strategia commerciale dell’entità finanziaria;
    • b) fissando il livello di tolleranza per i rischi informatici, conformemente alla propensione al rischio dell’entità finanziaria e analizzando la tolleranza d’impatto per le perturbazioni a livello di TIC;
    • c) indicando chiari obiettivi in materia di sicurezza delle informazioni, compresi indicatori chiave di prestazione e parametri chiave di rischio;
    • d) spiegando l’architettura di riferimento a livello di TIC e le eventuali modifiche necessarie per conseguire specifici obiettivi commerciali;
    • e) delineando i differenti meccanismi introdotti per individuare incidenti connessi alle TIC, prevenire il loro impatto e proteggersi dallo stesso;
    • f) documentando l’attuale situazione di resilienza operativa digitale sulla base del numero di gravi incidenti TIC segnalati, nonché l’efficacia delle misure preventive;
    • g) attuando test di resilienza operativa digitale, conformemente al capo IV del presente regolamento;
    • h) delineando una strategia di comunicazione in caso di incidenti connessi alle TIC di cui è richiesta la divulgazione a norma dell’articolo 14.
  9. Le entità finanziarie possono, nel contesto della strategia di resilienza operativa digitale di cui al paragrafo 8, definire una strategia olistica per le TIC a livello di gruppo o di entità, basata su una varietà di fornitori, che indichi le principali dipendenze da fornitori terzi di servizi TIC e che spieghi la logica sottesa alla ripartizione degli appalti tra i fornitori terzi di servizi TIC.
  10. Le entità finanziarie possono, conformemente alla normativa settoriale dell’Unione e nazionale, esternalizzare a imprese interne o esterne al gruppo i compiti di verifica della conformità ai requisiti in materia di gestione dei rischi informatici. In caso di esternalizzazione, l’entità finanziaria rimane pienamente responsabile di verificare la conformità ai requisiti in materia di gestione dei rischi informatici.

Tutti gli articoli