RTS Articolo 11 – Sicurezza dei dati e dei sistemi

Sintesi Articolo 11

Le entità finanziarie devono elaborare e implementare procedure di sicurezza per proteggere dati e sistemi TIC. Queste procedure includono restrizioni di accesso, configurazioni sicure delle risorse TIC, uso di software autorizzato e protezione contro codici malevoli. Inoltre, si prevedono misure per la gestione sicura dei dispositivi endpoint e dei supporti di memorizzazione, e per garantire la sicurezza durante il telelavoro. Infine, le entità finanziarie devono gestire e monitorare le risorse TIC fornite da terze parti, assicurando competenze adeguate e riducendo i rischi associati all’infrastruttura utilizzata dai fornitori.

  1. Nell’ambito delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie elaborano, documentano e attuano una procedura per la sicurezza dei dati e dei sistemi.
  2. La procedura per la sicurezza dei dati e dei sistemi di cui al paragrafo 1 contiene tutti gli elementi seguenti relativi alla sicurezza dei dati e dei sistemi di TIC, secondo la classificazione effettuata in conformità dell’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554:
    • a) le restrizioni di accesso di cui all’articolo 21 del presente regolamento, a supporto dei requisiti di protezione per ciascun livello di classificazione;
    • b) l’identificazione di una configurazione di base sicura per le risorse TIC che riduca al minimo l’esposizione di tali risorse alle minacce informatiche e misure per verificare regolarmente che tali configurazioni di base siano effettivamente applicate;
    • c) l’identificazione di misure di sicurezza per garantire che nei sistemi di TIC e nei dispositivi endpoint siano installati solo software autorizzati;
    • d) l’identificazione di misure di sicurezza contro i codici malevoli;
    • e) l’identificazione di misure di sicurezza per garantire che solo i supporti di memorizzazione dei dati, i sistemi e i dispositivi endpoint autorizzati siano utilizzati per trasferire e memorizzare i dati dell’entità finanziaria;
    • f) gli obblighi seguenti per proteggere l’uso dei dispositivi endpoint portatili e dei dispositivi endpoint privati non portatili:
      • i) l’obbligo di utilizzare una soluzione di gestione per gestire da remoto i dispositivi endpoint e cancellare da remoto i dati dell’entità finanziaria;
      • ii) l’obbligo di utilizzare meccanismi di sicurezza che non possono essere modificati, rimossi o aggirati da membri del personale o da fornitori terzi di servizi TIC senza autorizzazione;
      • iii) l’obbligo di utilizzare dispositivi di archiviazione dati rimovibili solo quando il rischio informatico residuo rimane entro il livello di tolleranza per i rischi dell’entità finanziaria di cui all’articolo 3, primo comma, lettera a);
    • g) il processo per cancellare in modo sicuro i dati, presenti nei locali dell’entità finanziaria o conservati all’esterno, che l’entità finanziaria non ha più bisogno di raccogliere o conservare;
    • h) il processo per smaltire o dismettere in modo sicuro i dispositivi di archiviazione dati presenti nei locali dell’entità finanziaria o conservati all’esterno contenenti informazioni riservate;
    • i) l’identificazione e l’attuazione di misure di sicurezza per prevenire la perdita e la fuga di dati per i sistemi e per i dispositivi endpoint;
    • j) l’attuazione di misure di sicurezza per garantire che il telelavoro e l’uso di dispositivi endpoint privati non abbiano un impatto negativo sulla sicurezza delle TIC dell’entità finanziaria;
    • k) per le risorse o i servizi TIC gestiti da un fornitore terzo di servizi TIC, l’identificazione e l’attuazione di obblighi volti a mantenere la resilienza operativa digitale, conformemente ai risultati della classificazione dei dati e della valutazione dei rischi informatici.

Ai fini della lettera b), la configurazione di base sicura di cui alla stessa lettera tiene conto delle pratiche più avanzate e delle tecniche appropriate stabilite nelle norme definite all’articolo 2, punto 1), del regolamento (UE) n. 1025/2012.

Ai fini della lettera k), le entità finanziarie considerano quanto segue:

a) l’applicazione delle impostazioni raccomandate dal fornitore sugli elementi gestiti dall’entità finanziaria;

b) una chiara ripartizione dei ruoli e delle responsabilità in materia di sicurezza delle informazioni tra l’entità finanziaria e il fornitore terzo di servizi TIC, conformemente al principio della piena responsabilità dell’entità finanziaria nei confronti del suo fornitore terzo di servizi TIC di cui all’articolo 28, paragrafo 1, lettera a), del regolamento (UE) 2022/2554 e, per le entità finanziarie di cui all’articolo 28, paragrafo 2, del medesimo regolamento, conformemente alla politica dell’entità finanziaria per l’utilizzo dei servizi TIC a supporto di funzioni essenziali o importanti;

c) la necessità di garantire e mantenere adeguate competenze all’interno dell’entità finanziaria nella gestione e nella sicurezza del servizio utilizzato;

d) misure tecniche e organizzative per ridurre al minimo i rischi legati all’infrastruttura utilizzata dal fornitore terzo di servizi TIC per i suoi servizi TIC, tenendo conto delle pratiche più avanzate e delle norme definite all’articolo 2, punto 1), del regolamento (UE) n. 1025/2012.

Tutti gli articoli