Sintesi Articolo 1
Le entità finanziarie sviluppano e implementano policy e strumenti di sicurezza informatica adeguati alla loro dimensione e profilo di rischio. Le misure devono considerare la complessità dei servizi offerti, includendo aspetti come la cifratura, la sicurezza delle operazioni TIC, la sicurezza della rete, e la gestione dei progetti e delle modifiche TIC. Inoltre, devono valutare l’impatto dei rischi informatici sulla riservatezza, integrità e disponibilità dei dati, così come le possibili interruzioni alla continuità operativa dell’entità finanziaria.
Nell’elaborare e attuare le politiche, le procedure, i protocolli e gli strumenti di sicurezza delle TIC di cui al titolo II e il quadro semplificato per la gestione dei rischi informatici di cui al titolo III, si tiene conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e degli elementi di maggiore o minore complessità dei suoi servizi, attività e operazioni, compresi gli elementi relativi a:
a) cifratura e crittografia;
b) sicurezza delle operazioni riguardanti le TIC;
c) sicurezza della rete;
d) gestione dei progetti e delle modifiche relativi alle TIC;
e) il potenziale impatto dei rischi informatici sulla riservatezza, l’integrità e la disponibilità dei dati, e quello delle perturbazioni sulla continuità e la disponibilità delle attività dell’entità finanziaria.