Sintesi Articolo 13
Le entità finanziarie devono adottare misure rigorose per garantire la sicurezza delle loro reti e dei sistemi di Tecnologie dell’Informazione e della Comunicazione (TIC). Queste misure includono la separazione e la segmentazione delle reti, la documentazione dei flussi di dati, l’uso di reti dedicate per l’amministrazione delle risorse TIC, e l’implementazione di controlli di accesso per prevenire connessioni non autorizzate. Inoltre, DORA impone la cifratura delle connessioni di rete, la revisione annuale delle configurazioni di sicurezza, e l’ “hardening” dei dispositivi di rete, con particolare attenzione ai sistemi che supportano funzioni essenziali o importanti.
Le entità finanziarie, nell’ambito delle salvaguardie che garantiscono la sicurezza delle reti contro le intrusioni e l’uso improprio dei dati, elaborano, documentano e attuano politiche, procedure, protocolli e strumenti per la gestione della sicurezza della rete che comprendano tutti gli aspetti seguenti:
- a) la separazione e la segmentazione delle reti e dei sistemi di TIC tenendo in considerazione:
- i) la criticità o l’importanza della funzione che le reti e i sistemi di TIC supportano;
- ii) la classificazione effettuata conformemente all’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554;
- iii) il profilo di rischio complessivo delle risorse TIC che utilizzano tali reti e sistemi di TIC;
- b) la documentazione di tutte le connessioni di rete e dei flussi di dati dell’entità finanziaria;
- c) l’uso di una rete separata e dedicata per l’amministrazione delle risorse TIC;
- d) l’identificazione e l’attuazione di controlli di accesso alla rete per prevenire e individuare le connessioni alla rete dell’entità finanziaria da parte di dispositivi o sistemi non autorizzati o di endpoint non conformi ai requisiti di sicurezza dell’entità finanziaria;
- e) la cifratura delle connessioni di rete che passano su reti aziendali, reti pubbliche, reti domestiche, reti di terzi e reti wireless, per i protocolli di comunicazione utilizzati, tenendo conto dei risultati della classificazione dei dati approvata, dei risultati della valutazione dei rischi informatici e della cifratura delle connessioni di rete di cui all’articolo 6, paragrafo 2;
- f) la configurazione delle reti in linea con i requisiti di sicurezza delle TIC stabiliti dall’entità finanziaria, tenendo conto delle pratiche più avanzate per garantire la riservatezza, l’integrità e la disponibilità della rete;
- g) la protezione del traffico di rete tra le reti interne e Internet e altre connessioni esterne;
- h) l’identificazione dei ruoli e delle responsabilità e delle fasi per la specifica, l’implementazione, l’approvazione, la modifica e il riesame delle regole del firewall e dei filtri di connessione;
- i) l’esecuzione di riesami dell’architettura di rete e della configurazione della sicurezza di rete una volta all’anno, e periodicamente per le microimprese, al fine di identificare potenziali vulnerabilità;
- j) le misure per isolare temporaneamente, ove necessario, sottoreti e componenti e dispositivi di rete;
- k) l’implementazione di una configurazione di base sicura di tutti i componenti della rete e l’hardening della rete e dei dispositivi di rete in linea con le istruzioni del fornitore, le pratiche più avanzate e, se del caso, con le norme definite all’articolo 2, punto 1), del regolamento (UE) n. 1025/2012;
- l) le procedure per limitare, bloccare e terminare le sessioni di sistema e remote dopo un determinato periodo di inattività;
- m) per gli accordi sui servizi di rete:
- i) l’identificazione e la specifica delle misure di sicurezza delle TIC e delle informazioni, dei livelli di servizio e dei requisiti di gestione di tutti i servizi di rete;
- ii) se tali servizi sono forniti da un fornitore infragruppo di servizi TIC o da fornitori terzi di servizi TIC.
Ai fini della lettera h), le entità finanziarie effettuano periodicamente il riesame delle regole del firewall e dei filtri di connessione in base alla classificazione effettuata conformemente all’articolo 8, paragrafo 1, del regolamento (UE) 2022/2554 e al profilo di rischio complessivo dei sistemi di TIC coinvolti. Per i sistemi TIC che supportano funzioni essenziali o importanti, le entità finanziarie verificano l’adeguatezza delle regole del firewall e dei filtri di connessione esistenti almeno ogni sei mesi.