21. Sorveglianza proporzionata della resilienza operativa digitale

Home » Recitals (Considerando) » 21. Sorveglianza proporzionata della resilienza operativa digitale

Al fine di mantenere il pieno controllo sui rischi informatici, le entità finanziarie devono dotarsi di capacità generali per consentire una gestione dei rischi informatici forte ed efficace, nonché di politiche e meccanismi specifici per il trattamento di tutti gli incidenti connessi alle TIC e per la segnalazione degli incidenti più gravi connessi alle TIC. Analogamente, le entità finanziarie dovrebbero dotarsi di politiche per i test su processi, controlli e sistemi di TIC nonché per la gestione dei rischi informatici derivanti da terzi. È opportuno potenziare la resilienza operativa digitale di base per le entità finanziarie, consentendo tuttavia anche un’applicazione proporzionata dei requisiti a carico di talune entità finanziarie, in particolare le microimprese, così come le entità finanziarie soggette a un quadro semplificato per la gestione dei rischi informatici. Per agevolare una vigilanza efficace degli enti pensionistici aziendali o professionali che sia proporzionata e risponda alla necessità di ridurre gli oneri amministrativi a carico delle autorità competenti, le pertinenti disposizioni nazionali in materia di vigilanza applicabili a tali entità finanziarie dovrebbero tenere conto delle loro dimensioni e del loro profilo di rischio complessivo, nonché della natura, della portata e della complessità dei loro servizi, delle loro attività e della loro operatività, anche in caso di superamento delle soglie pertinenti di cui all’articolo 5 della direttiva (UE) 2016/2341 del Parlamento europeo e del Consiglio. In particolare, le attività di vigilanza dovrebbero concentrarsi principalmente sulla necessità di affrontare i rischi gravi associati alla gestione dei rischi informatici di un’entità specifica.
Le autorità competenti dovrebbero inoltre mantenere un approccio vigile ma proporzionato in relazione alla vigilanza degli enti pensionistici aziendali o professionali che, conformemente all’articolo 31 della direttiva (UE) 2016/2341, esternalizzano a fornitori di servizi una parte significativa delle loro attività principali, quali la gestione patrimoniale, i calcoli attuariali, la contabilità e la gestione dei dati.

Tutti i recitals