Articolo 45 – Meccanismi di condivisione delle informazioni e delle analisi delle minacce informatiche

Sintesi Articolo 45

Le entità finanziarie sono autorizzate a condividere informazioni sulle minacce informatiche tra di loro per migliorare la resilienza operativa digitale. Questa condivisione deve avvenire all’interno di comunità fidate e rispettare regole che proteggono informazioni sensibili, confidenzialità aziendale e dati personali. Gli accordi per la condivisione dovrebbero specificare le condizioni di partecipazione e possono includere dettagli sul coinvolgimento di autorità pubbliche e fornitori di servizi di terze parti TIC. Le entità finanziarie devono notificare alle autorità competenti quando aderiscono o lasciano questi accordi di condivisione delle informazioni.

  1. Le entità finanziarie possono scambiarsi reciprocamente informazioni e analisi delle minacce informatiche, tra cui indicatori di compromissione, tattiche, tecniche e procedure, segnali di allarme per la cibersicurezza e strumenti di configurazione, nella misura in cui tale condivisione di informazioni e dati:
    • a) mira a potenziare la resilienza operativa digitale delle entità finanziarie, in particolare aumentando la consapevolezza in merito alle minacce informatiche, contenendo o inibendo la capacità di diffusione delle minacce informatiche, sostenendo le capacità di difesa, le tecniche di individuazione delle minacce, le politiche di mitigazione o le fasi di risposta e ripristino;
    • b) si svolge entro comunità fidate di entità finanziarie;
    • c) si realizza mediante meccanismi di condivisione delle informazioni che tutelano la natura potenzialmente sensibile delle informazioni condivise e sono disciplinati da norme di condotta pienamente rispettose della riservatezza dell’attività economica, della protezione dei dati personali ai sensi del regolamento (UE) 2016/679 e delle linee guida sulla politica in materia di concorrenza.
  2. Ai fini del paragrafo 1, lettera c), i meccanismi di condivisione delle informazioni definiscono le condizioni per la partecipazione e, se del caso, definiscono i dettagli concernenti il coinvolgimento delle autorità pubbliche e la veste in cui queste possono partecipare ai meccanismi di condivisione delle informazioni, il coinvolgimento dei fornitori terzi di servizi TIC, nonché gli elementi operativi tra cui l’utilizzo di piattaforme informatiche apposite.
  3. Le entità finanziarie notificano alle autorità competenti la propria partecipazione ai meccanismi di condivisione delle informazioni di cui al paragrafo 1, al momento della convalida della propria adesione o, se del caso, della cessazione dell’adesione, quando quest’ultima abbia effetto.

Tutti gli articoli