Sintesi Articolo 10
Le entità finanziarie devono sviluppare, documentare e implementare procedure per la gestione delle vulnerabilità e delle patch delle risorse TIC. Le procedure devono identificare e aggiornare risorse informative, eseguire scansioni automatizzate delle vulnerabilità con cadenza settimanale per le risorse essenziali, e verificare la gestione delle vulnerabilità da parte dei fornitori terzi. Inoltre, le entità finanziarie devono monitorare le librerie di terze parti, dare priorità alla risoluzione delle vulnerabilità, e mantenere un registro delle vulnerabilità risolte. Le patch devono essere identificate, testate, applicate e monitorate secondo scadenze definite.
- Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano procedure per la gestione delle vulnerabilità.
- Le procedure per la gestione delle vulnerabilità di cui al paragrafo 1:
- a) identificano e aggiornano risorse informative pertinenti e attendibili per creare e mantenere la consapevolezza rispetto alle vulnerabilità;
- b) garantiscono l’esecuzione di scansioni e valutazioni automatizzate delle vulnerabilità delle risorse TIC, la cui frequenza e portata sono commisurate alla classificazione effettuata conformemente all’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554 e al profilo di rischio complessivo della risorsa TIC;
- c) verificano se:
- i) i fornitori terzi di servizi TIC gestiscono le vulnerabilità relative ai servizi TIC forniti all’entità finanziaria;
- ii) tali fornitori di servizi segnalano all’entità finanziaria almeno le vulnerabilità critiche nonché le statistiche e le tendenze in modo tempestivo;
- d) tengono traccia dell’utilizzo di:
- i) librerie di terze parti, comprese quelle open-source, utilizzate dai servizi TIC a supporto di funzioni essenziali o importanti;
- ii) servizi TIC sviluppati dall’entità finanziaria stessa o specificamente personalizzati o sviluppati per l’entità finanziaria da un fornitore terzo di servizi TIC;
- e) definiscono procedure per la comunicazione responsabile delle vulnerabilità ai clienti, alle controparti e al pubblico;
- f) danno priorità all’applicazione di patch e ad altre misure di attenuazione per risolvere le vulnerabilità identificate;
- g) monitorano e verificano la correzione delle vulnerabilità;
- h) prevedono la registrazione di tutte le vulnerabilità individuate che riguardano i sistemi di TIC e il monitoraggio della loro risoluzione.
- Ai fini della lettera b), le entità finanziarie eseguono la scansione e la valutazione automatizzate delle vulnerabilità delle risorse TIC per le risorse TIC che supportano funzioni essenziali o importanti con cadenza almeno settimanale.
- Ai fini della lettera c), le entità finanziarie richiedono ai fornitori terzi di servizi TIC di indagare sulle pertinenti vulnerabilità, di determinare le cause di fondo e di attuare le opportune azioni di attenuazione.
- Ai fini della lettera d), le entità finanziarie monitorano, se del caso in collaborazione con il fornitore terzo di servizi TIC, la versione e gli eventuali aggiornamenti delle librerie di terze parti. Nel caso di risorse TIC o di componenti di risorse TIC pronti all’uso (disponibili in commercio) acquisiti e utilizzati nell’ambito di servizi TIC che non supportano funzioni essenziali o importanti, le entità finanziarie tracciano l’utilizzo, per quanto possibile, di librerie di terze parti, comprese le librerie open-source.
- Ai fini della lettera f), le entità finanziarie considerano la criticità della vulnerabilità, la classificazione effettuata conformemente all’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554 e il profilo di rischio delle risorse TIC interessate dalle vulnerabilità identificate.
- Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano procedure per la gestione delle patch.
- Le procedure per la gestione delle patch di cui al paragrafo 3:
- a) per quanto possibile, identificano e valutano le patch e gli aggiornamenti di software e hardware disponibili utilizzando strumenti automatizzati;
- b) identificano le procedure di emergenza per la correzione mediante patch e l’aggiornamento delle risorse TIC;
- c) testano e applicano le patch di software e hardware e gli aggiornamenti di cui all’articolo 8, paragrafo 2, lettera b), punti v), vi) e vii);
- d) stabiliscono scadenze per l’installazione di patch e aggiornamenti software e hardware e procedure di attivazione dei livelli successivi di intervento nel caso in cui tali scadenze non possano essere rispettate.