RTS Articolo 16 – Acquisizione, sviluppo e manutenzione dei sistemi di TIC

Home » RTS e ITS DORA » RTS sulla gestione del rischio TIC e sul quadro semplificato di gestione del rischio TIC » RTS Articolo 16 – Acquisizione, sviluppo e manutenzione dei sistemi di TIC
Sintesi Articolo 16

Le entità finanziarie devono sviluppare, documentare e attuare policy rigorose per l’acquisizione, lo sviluppo e la manutenzione dei sistemi TIC, garantendo la sicurezza, l’integrità e la riservatezza dei dati. Tali policy devono includere pratiche di sicurezza specifiche, test di sicurezza dettagliati per i software, e la gestione del codice sorgente. Inoltre, è previsto il coinvolgimento di stakeholder rilevanti nei test, e l’uso di dati di produzione anonimizzati negli ambienti di test. Le entità finanziarie devono monitorare costantemente le vulnerabilità e adottare piani d’azione per risolverle.

  1. Nell’ambito delle salvaguardie volte a preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, le entità finanziarie elaborano, documentano e attuano una politica che disciplina l’acquisizione, lo sviluppo e la manutenzione dei sistemi di TIC. Tale politica:
    • a) identifica le pratiche in materia di sicurezza e le metodologie relative all’acquisizione, allo sviluppo e alla manutenzione dei sistemi di TIC;
    • b) prevede l’identificazione di:
      • i) specifiche tecniche e specifiche tecniche delle TIC, come definite all’articolo 2, punti 4) e 5), del regolamento (UE) n. 1025/2012;
      • ii) requisiti relativi all’acquisizione, allo sviluppo e alla manutenzione dei sistemi di TIC, con particolare attenzione ai requisiti di sicurezza delle TIC e alla loro approvazione da parte della funzione commerciale pertinente e del proprietario della risorsa TIC, conformemente ai meccanismi di governance interna dell’entità finanziaria;
    • c) specifica le misure di attenuazione del rischio di alterazione non intenzionale o di manipolazione intenzionale dei sistemi di TIC durante lo sviluppo, la manutenzione e l’installazione di tali sistemi nell’ambiente di produzione.
  2. Le entità finanziarie elaborano, documentano e attuano una procedura di acquisizione, sviluppo e manutenzione dei sistemi di TIC per il test e l’approvazione di tutti i sistemi di TIC prima del loro utilizzo e dopo la manutenzione, conformemente all’articolo 8, paragrafo 2, lettera b), punti v), vi) e vii). Il livello dei test deve essere commisurato alla criticità delle procedure aziendali e delle risorse TIC interessate. I test sono concepiti per verificare che i nuovi sistemi di TIC siano adeguati alle prestazioni previste, anche per quanto riguarda la qualità dei software sviluppati internamente. Le controparti centrali, oltre ai requisiti di cui al primo comma, coinvolgono, se opportuno, nella progettazione e nella conduzione dei test di cui al primo comma:
    • a) i partecipanti diretti e i clienti;
    • b) le controparti centrali interoperabili;
    • c) altre parti interessate.
    • I depositari centrali di titoli, oltre ai requisiti di cui al primo comma, coinvolgono, se opportuno, nella progettazione e nella conduzione dei test di cui al primo comma:
    • a) gli utenti;
    • b) i fornitori di utenze critiche e di servizi critici;
    • c) altri depositari centrali di titoli;
    • d) altre infrastrutture di mercato;
    • e) qualsiasi altro ente con cui i depositari centrali di titoli abbiano identificato interdipendenze nella loro politica di continuità operativa.
  3. La procedura di cui al paragrafo 2 prevede l’esecuzione di esami del codice sorgente che coprono sia i test statici che quelli dinamici. Tali test comprendono test di sicurezza per i sistemi e le applicazioni esposti a Internet conformemente all’articolo 8, paragrafo 2, lettera b), punti v), vi) e vii). Le entità finanziarie:
    • a) identificano e analizzano le vulnerabilità e le anomalie del codice sorgente;
    • b) adottano un piano d’azione per affrontare tali vulnerabilità e anomalie;
    • c) monitorano l’attuazione del piano d’azione.
  4. La procedura di cui al paragrafo 2 prevede test di sicurezza dei pacchetti software da effettuare al più tardi nella fase di integrazione, conformemente all’articolo 8, paragrafo 2, lettera b), punti v), vi) e vii).
  5. La procedura di cui al paragrafo 2 prevede che:
    • a) negli ambienti non di produzione siano memorizzati solo dati di produzione anonimizzati, pseudonimizzati o randomizzati;
    • b) le entità finanziarie tutelino l’integrità e la riservatezza dei dati negli ambienti non di produzione.
  6. In deroga al paragrafo 5, la procedura di cui al paragrafo 2 può prevedere che i dati di produzione siano memorizzati solo per specifiche occasioni di test, per periodi di tempo limitati e previa approvazione della funzione competente e segnalazione di tali occasioni alla funzione di gestione dei rischi informatici.
  7. La procedura di cui al paragrafo 2 prevede l’attuazione di controlli per proteggere l’integrità del codice sorgente dei sistemi di TIC sviluppati internamente o da un fornitore terzo di servizi TIC e forniti all’entità finanziaria da un fornitore terzo di servizi TIC.
  8. La procedura di cui al paragrafo 2 prevede che il software proprietario e, ove possibile, il codice sorgente fornito da fornitori terzi di servizi TIC o proveniente da progetti open-source, siano analizzati e testati conformemente al paragrafo 3 prima di essere installati nell’ambiente di produzione.
  9. I paragrafi da 1 a 8 del presente articolo si applicano anche ai sistemi di TIC sviluppati o gestiti da utenti esterni alla funzione TIC, utilizzando un approccio basato sul rischio.

Tutti gli articoli