Sintesi Articolo 15
Le entità finanziarie devono sviluppare, documentare e implementare una policy di gestione dei progetti relativi alle tecnologie dell’informazione e della comunicazione (TIC). Questa policy deve garantire una gestione efficace dei progetti TIC, coprendo obiettivi, ruoli, pianificazione, valutazione dei rischi, punti di controllo e requisiti di sicurezza. Inoltre, deve assicurare un’implementazione sicura dei sistemi TIC, coinvolgendo le competenze necessarie. La policy deve anche prevedere la comunicazione periodica all’organo di gestione sull’avanzamento e sui rischi dei progetti TIC che influenzano funzioni essenziali o importanti dell’entità finanziaria.
- Nell’ambito delle salvaguardie volte a preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, le entità finanziarie elaborano, documentano e attuano una politica di gestione dei progetti relativi alle TIC.
- La politica di gestione dei progetti relativi alle TIC di cui al paragrafo 1 specifica gli elementi che garantiscono una gestione efficace dei progetti relativi alle TIC per l’acquisizione, la manutenzione e, se del caso, lo sviluppo dei sistemi di TIC dell’entità finanziaria.
- La politica di gestione dei progetti relativi alle TIC di cui al paragrafo 1 contiene tutti gli elementi seguenti:
- a) gli obiettivi dei progetti relativi alle TIC;
- b) la gestione dei progetti relativi alle TIC, compresi ruoli e responsabilità;
- c) la pianificazione, la tempistica e le fasi dei progetti relativi alle TIC;
- d) la valutazione dei rischi dei progetti relativi alle TIC;
- e) i pertinenti punti di controllo;
- f) i requisiti per la gestione delle modifiche;
- g) la verifica di tutti i requisiti, compresi quelli di sicurezza, e il relativo processo di approvazione al momento dell’installazione di un sistema di TIC nell’ambiente di produzione.
- La politica di gestione dei progetti relativi alle TIC di cui al paragrafo 1 garantisce un’attuazione sicura del progetto relativo alle TIC attraverso la fornitura delle informazioni e delle competenze necessarie da parte dell’area aziendale o delle funzioni aziendali interessate da tale progetto.
- Conformemente alla valutazione dei rischi dei progetti relativi alle TIC di cui al paragrafo 3, lettera d), la politica di gestione dei progetti relativi alle TIC di cui al paragrafo 1 prevede che la realizzazione e l’avanzamento dei progetti relativi alle TIC che hanno un impatto sulle funzioni essenziali o importanti dell’entità finanziaria e i rischi ad essi associati siano comunicati all’organo di gestione come segue:
- a) singolarmente o in forma aggregata, a seconda dell’importanza e delle dimensioni dei progetti relativi alle TIC;
- b) periodicamente e, se necessario, in base agli eventi.