Sintesi Articolo 9
DORA richiede alle entità finanziarie di mantenere rigorosi quadri di gestione del rischio TIC. Questi quadri dovrebbero includere un monitoraggio continuo dei sistemi e degli strumenti TIC per minimizzare i rischi. Le entità devono progettare ed implementare politiche e protocolli di sicurezza che garantiscano la resilienza e la disponibilità dei sistemi TIC, in particolare quelli che supportano funzioni critiche. Queste politiche dovrebbero coprire la sicurezza del trasferimento dati, la minimizzazione del rischio e la protezione contro la perdita di dati o l’accesso non autorizzato. Inoltre, le entità devono avere politiche documentate per la sicurezza delle informazioni, la gestione della rete, il controllo degli accessi, meccanismi di autenticazione robusti, la gestione dei cambiamenti TIC e gli aggiornamenti software. Queste misure mirano a proteggere l’integrità, la disponibilità e la confidenzialità dei dati e dei sistemi.
- Allo scopo di proteggere adeguatamente i sistemi di TIC e nella prospettiva di organizzare misure di risposta, le entità finanziarie monitorano e controllano costantemente la sicurezza e il funzionamento dei sistemi e degli strumenti di TIC e riducono al minimo l’impatto dei rischi informatici sui sistemi di TIC adottando politiche, procedure e strumenti adeguati per la sicurezza delle TIC.
- Le entità finanziarie definiscono, acquisiscono e attuano politiche, procedure, protocolli e strumenti per la sicurezza delle TIC miranti a garantire la resilienza, la continuità e la disponibilità dei sistemi di TIC, in particolare quelli a supporto di funzioni essenziali o importanti, nonché a mantenere standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati conservati, in uso o in transito.
- Al fine di conseguire gli obiettivi di cui al paragrafo 2 le entità finanziarie usano soluzioni e processi TIC appropriati conformemente all’articolo 4. Tali soluzioni e processi TIC:
- a) garantiscono la sicurezza dei mezzi di trasferimento dei dati;
- b) riducono al minimo i rischi di corruzione o perdita di dati, di accesso non autorizzato nonché di difetti tecnici che possono ostacolare l’attività commerciale;
- c) prevengono la mancanza di disponibilità, il deterioramento dell’autenticità o dell’integrità, le violazioni della riservatezza e la perdita di dati;
- d) assicurano la protezione dei dati contro i rischi derivanti dalla gestione dei dati, compresi la cattiva amministrazione, i rischi relativi al trattamento dei dati e l’errore umano.
- All’interno del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 1, le entità finanziarie:
- a) elaborano e documentano una politica di sicurezza dell’informazione che definisce le norme per tutelare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, dei patrimoni informativi e delle risorse TIC, compresi quelli dei loro clienti, se del caso;
- b) seguendo un approccio basato sul rischio, realizzano una solida struttura di gestione della rete e delle infrastrutture impiegando tecniche, metodi e protocolli adeguati, che possono includere l’applicazione di meccanismi automatizzati, per isolare i patrimoni informativi colpiti in caso di attacchi informatici;
- c) attuano politiche che limitano l’accesso fisico o logico ai patrimoni informativi e alle risorse TIC unicamente a quanto è necessario per funzioni e attività legittime e approvate, e stabiliscono a tale scopo una serie di politiche, procedure e controlli concernenti i diritti di accesso e garantiscono una solida amministrazione degli stessi;
- d) attuano politiche e protocolli riguardanti robusti meccanismi di autenticazione, basati su norme pertinenti e sistemi di controllo dedicati, e misure di protezione delle chiavi crittografiche di cifratura dei dati sulla scorta dei risultati di processi approvati per la classificazione dei dati e la valutazione dei rischi informatici;
- e) attuano politiche, procedure e controlli documentati per la gestione delle modifiche delle TIC, comprese le modifiche apportate a componenti software, hardware e firmware, sistemi o parametri di sicurezza, che adottano un approccio basato sulla valutazione del rischio e sono parte integrante del processo complessivo di gestione delle modifiche dell’entità finanziaria, in modo che tutte le modifiche apportate ai sistemi di TIC siano registrate, testate, valutate, approvate, attuate e verificate in maniera controllata;
- f) si dotano di politiche documentate, idonee ed esaustive in materia di correzioni ed aggiornamenti.
Ai fini della lettera b) del primo comma, le entità finanziarie progettano l’infrastruttura di connessione di rete in modo che sia possibile isolarla o segmentarla istantaneamente, al fine di ridurre al minimo e prevenire il contagio, soprattutto per i processi finanziari interconnessi.
Ai fini della lettera e) del primo comma, il processo di gestione delle modifiche delle TIC è approvato da linee di gestione adeguate e comprende protocolli specifici in essere.