43. Esenzioni per le microimprese

Home » Recitals (Considerando) » 43. Esenzioni per le microimprese

Analogamente, le entità finanziarie che rientrano nella definizione di microimprese o sono soggette al quadro semplificato per la gestione dei rischi informatici a norma del presente regolamento non dovrebbero essere tenute a istituire una funzione per il monitoraggio degli accordi conclusi con i fornitori terzi di servizi TIC per l’uso di tali servizi, o a designare un dirigente di rango elevato quale responsabile della sorveglianza sulla relativa esposizione al rischio e sulla documentazione pertinente; ad attribuire la responsabilità della gestione e della sorveglianza dei rischi informatici a una funzione di controllo e garantire un adeguato livello di indipendenza di tale funzione per evitare conflitti d’interessi; a documentare e riesaminare almeno una volta all’anno il quadro per la gestione dei rischi informatici; a sottoporre ad audit interno periodico il quadro per la gestione dei rischi informatici; a svolgere valutazioni approfondite dopo modifiche di rilievo dei loro processi e delle loro infrastrutture di rete e dei sistemi informativi; a compiere periodicamente analisi dei rischi sui sistemi legacy; a sottoporre a verifiche di audit interno indipendenti l’attuazione dei piani di risposta e ripristino relativi alle TIC; a disporre di una funzione di gestione delle crisi; ad ampliare i test sulla continuità operativa e i piani di risposta e ripristino per descrivere gli scenari di passaggio tra le infrastrutture TIC primarie e quelle di ridondanza; a comunicare, su loro richiesta, alle autorità competenti una stima dei costi e delle perdite annuali aggregati causati da gravi incidenti connessi alle TIC; a mantenere capacità di TIC ridondanti; a comunicare alle autorità nazionali competenti le modifiche apportate a seguito dei riesami successivi agli incidenti connessi alle TIC; a monitorare costantemente i pertinenti sviluppi tecnologici, a istituire un programma di test di resilienza operativa digitale esaustivo quale parte integrante del quadro per la gestione dei rischi informatici di cui al presente regolamento o ad adottare e riesaminare periodicamente una strategia per i rischi informatici derivanti da terzi. Inoltre, le microimprese dovrebbero essere tenute a valutare la necessità di mantenere tali capacità di TIC ridondanti solo sulla base del loro profilo di rischio. Le microimprese dovrebbero beneficiare di un regime più flessibile per quanto riguarda i programmi di test di resilienza operativa digitale. Quando valutano il tipo e la frequenza dei test da svolgere, dovrebbero trovare il giusto equilibrio tra l’obiettivo di mantenere un’elevata resilienza operativa digitale, le risorse disponibili e il loro profilo di rischio complessivo. Le microimprese e le entità finanziarie soggette al quadro semplificato per la gestione dei rischi informatici a norma al presente regolamento dovrebbero essere esentate dall’obbligo di svolgere test avanzati di strumenti, sistemi e processi di TIC fondati su test di penetrazione guidati dalla minaccia (threat-led penetration testing — TLPT), in quanto solo le entità finanziarie che soddisfano i criteri di cui al presente regolamento dovrebbero essere tenute a svolgere tali test. Alla luce delle loro limitate capacità, le microimprese dovrebbero poter concordare con il fornitore terzo di servizi TIC di delegare i diritti di accesso, ispezione e audit dell’entità finanziaria a un terzo indipendente nominato dal fornitore terzo di servizi TIC, a condizione che l’entità finanziaria possa richiedere in qualsiasi momento al rispettivo terzo indipendente tutte le informazioni e le garanzie pertinenti sulle prestazioni del fornitore terzo di servizi TIC.

Tutti i recitals