RTS sulla gestione del rischio TIC e sul quadro semplificato di gestione del rischio TIC

In questa sezione riportiamo lo standard tecnico di regolamentazione (RTS) sul quadro di gestione del rischio TIC adottato dalla Commissione Europea secondo l’Articolo 15 e l’Articolo 16 DORA.

Siamo impegnati a facilitare la consultazione degli standard tecnici tramite il nostro portale e riportiamo sempre fedelmente i testi ufficiali ma consigliamo per completezza di consultare e fare affidamento alla versione finale pubblicata sulla Gazzetta Ufficiale a partire dal 25 giugno 2024.

Il nome completo del RTS è Regolamento delegato (UE) 2024/1774 della Commissione, del 13 marzo 2024, che integra il regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano gli strumenti, i metodi, i processi e le politiche per la gestione dei rischi informatici e il quadro semplificato per la gestione dei rischi informatici.

Titolo I – Principio Generale

Capo I – Politiche, procedure, protocolli e strumenti per la sicurezza delle TIC

Articolo 1 – Profilo di rischio complessivo e complessità

Titolo II – Ulteriore armonizzazione di strumenti, metodi, processi e politiche di gestione del rischio informatico ai sensi dell’articolo 15 del Regolamento (UE) 2022/2254

Articolo 2 – Elementi generali delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC

Articolo 3 – Gestione dei rischi informatici

Articolo 4 – Politica di gestione delle risorse TIC

Articolo 5 – Procedura di gestione delle risorse TIC

Articolo 6 – Cifratura e controlli crittografici

Articolo 7 – Gestione delle chiavi crittografiche

Articolo 8 – Politiche e procedure per le operazioni riguardanti le TIC

Articolo 9 – Gestione della capacità e delle prestazioni

Articolo 10 – Gestione delle vulnerabilità e delle patch

Articolo 11 – Sicurezza dei dati e dei sistemi

Articolo 12 – Logging

Articolo 13 – Gestione della sicurezza della rete

Articolo 14 – Protezione delle informazioni in transito

Articolo 15 – Gestione dei progetti relativi alle TIC

Articolo 16 – Acquisizione, sviluppo e manutenzione dei sistemi di TIC

Articolo 17 – Gestione delle modifiche delle TIC

Articolo 18 – Sicurezza fisica e ambientale

Capo II – Politica delle risorse umane e controllo degli accessi

Articolo 19 – Politica delle risorse umane

Articolo 20 – Gestione delle identità

Articolo 21 – Controllo degli accessi

Capo III – Individuazione degli incidenti connessi alle TIC e risposta agli stessi

Articolo 22 – Politica di gestione degli incidenti connessi alle TIC

Articolo 23 – Individuazione di attività anomale e criteri per l’individuazione degli incidenti connessi alle TIC e la risposta agli stessi

Capo IV – Gestione della continuità operativa delle TIC

Articolo 24 – Componenti della politica di continuità operativa delle TIC

Articolo 25 – Test dei piani di continuità operativa delle TIC

Articolo 26 – Piani di risposta e ripristino relativi alle TIC

Capo V – Relazione sul riesame del quadro per la gestione dei rischi informatici

Articolo 27 – Formato e contenuto della relazione sul riesame del quadro per la gestione dei rischi informatici

Titolo III – Quadro semplificato per la gestione dei rischi informatici per le entità finanziarie di cui all’articolo 16, Paragrafo I, del Regolamento (UE) 2022/2554

Capo I – Quadro semplificato per la gestione dei rischi informatici

Articolo 28 – Governance e organizzazione

Articolo 29 – Politica e misure di sicurezza delle informazioni

Articolo 30 – Classificazione dei patrimoni informativi e delle risorse TIC

Articolo 31 – Gestione dei rischi informatici

Articolo 32 – Sicurezza fisica e ambientale

Capo II – Ulteriori elementi di sistemi, protocolli e strumenti per ridurre al minimo l’impatto dei rischi informatici

Articolo 33 – Controllo degli accessi

Articolo 34 – Sicurezza delle operazioni riguardanti le TIC

Articolo 35 – Sicurezza dei dati, dei sistemi e delle reti

Articolo 36 – Test di sicurezza delle TIC

Articolo 37 – Acquisizione, sviluppo e manutenzione dei sistemi di TIC

Articolo 38 – Gestione delle modifiche e dei progetti relativi alle TIC

Capo III – Gestione della continuità operativa delle TIC

Articolo 39 – Componenti del piano di continuità operativa delle TIC

Articolo 40 – Test dei piani di continuità operativa

Capo IV – Relazione sul riesame del quadro semplificato per la gestione dei rischi informatici

Articolo 41 – Formato e contenuto della relazione sul riesame del quadro semplificato per la gestione dei rischi informatici

Titolo IV – Disposizioni finali

Articolo 42 – Entrata in vigore