RTS Articolo 10 – Gestione delle vulnerabilità e delle patch

Home » RTS e ITS DORA » RTS sulla gestione del rischio TIC e sul quadro semplificato di gestione del rischio TIC » RTS Articolo 10 – Gestione delle vulnerabilità e delle patch
Sintesi Articolo 10

Le entità finanziarie devono sviluppare, documentare e implementare procedure per la gestione delle vulnerabilità e delle patch delle risorse TIC. Le procedure devono identificare e aggiornare risorse informative, eseguire scansioni automatizzate delle vulnerabilità con cadenza settimanale per le risorse essenziali, e verificare la gestione delle vulnerabilità da parte dei fornitori terzi. Inoltre, le entità finanziarie devono monitorare le librerie di terze parti, dare priorità alla risoluzione delle vulnerabilità, e mantenere un registro delle vulnerabilità risolte. Le patch devono essere identificate, testate, applicate e monitorate secondo scadenze definite.

  1. Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano procedure per la gestione delle vulnerabilità.
  2. Le procedure per la gestione delle vulnerabilità di cui al paragrafo 1:
    • a) identificano e aggiornano risorse informative pertinenti e attendibili per creare e mantenere la consapevolezza rispetto alle vulnerabilità;
    • b) garantiscono l’esecuzione di scansioni e valutazioni automatizzate delle vulnerabilità delle risorse TIC, la cui frequenza e portata sono commisurate alla classificazione effettuata conformemente all’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554 e al profilo di rischio complessivo della risorsa TIC;
    • c) verificano se:
      • i) i fornitori terzi di servizi TIC gestiscono le vulnerabilità relative ai servizi TIC forniti all’entità finanziaria;
      • ii) tali fornitori di servizi segnalano all’entità finanziaria almeno le vulnerabilità critiche nonché le statistiche e le tendenze in modo tempestivo;
    • d) tengono traccia dell’utilizzo di:
      • i) librerie di terze parti, comprese quelle open-source, utilizzate dai servizi TIC a supporto di funzioni essenziali o importanti;
      • ii) servizi TIC sviluppati dall’entità finanziaria stessa o specificamente personalizzati o sviluppati per l’entità finanziaria da un fornitore terzo di servizi TIC;
    • e) definiscono procedure per la comunicazione responsabile delle vulnerabilità ai clienti, alle controparti e al pubblico;
    • f) danno priorità all’applicazione di patch e ad altre misure di attenuazione per risolvere le vulnerabilità identificate;
    • g) monitorano e verificano la correzione delle vulnerabilità;
    • h) prevedono la registrazione di tutte le vulnerabilità individuate che riguardano i sistemi di TIC e il monitoraggio della loro risoluzione.
    • Ai fini della lettera b), le entità finanziarie eseguono la scansione e la valutazione automatizzate delle vulnerabilità delle risorse TIC per le risorse TIC che supportano funzioni essenziali o importanti con cadenza almeno settimanale.
    • Ai fini della lettera c), le entità finanziarie richiedono ai fornitori terzi di servizi TIC di indagare sulle pertinenti vulnerabilità, di determinare le cause di fondo e di attuare le opportune azioni di attenuazione.
    • Ai fini della lettera d), le entità finanziarie monitorano, se del caso in collaborazione con il fornitore terzo di servizi TIC, la versione e gli eventuali aggiornamenti delle librerie di terze parti. Nel caso di risorse TIC o di componenti di risorse TIC pronti all’uso (disponibili in commercio) acquisiti e utilizzati nell’ambito di servizi TIC che non supportano funzioni essenziali o importanti, le entità finanziarie tracciano l’utilizzo, per quanto possibile, di librerie di terze parti, comprese le librerie open-source.
    • Ai fini della lettera f), le entità finanziarie considerano la criticità della vulnerabilità, la classificazione effettuata conformemente all’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554 e il profilo di rischio delle risorse TIC interessate dalle vulnerabilità identificate.
  3. Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano procedure per la gestione delle patch.
  4. Le procedure per la gestione delle patch di cui al paragrafo 3:
    • a) per quanto possibile, identificano e valutano le patch e gli aggiornamenti di software e hardware disponibili utilizzando strumenti automatizzati;
    • b) identificano le procedure di emergenza per la correzione mediante patch e l’aggiornamento delle risorse TIC;
    • c) testano e applicano le patch di software e hardware e gli aggiornamenti di cui all’articolo 8, paragrafo 2, lettera b), punti v), vi) e vii);
    • d) stabiliscono scadenze per l’installazione di patch e aggiornamenti software e hardware e procedure di attivazione dei livelli successivi di intervento nel caso in cui tali scadenze non possano essere rispettate.

Tutti gli articoli