RTS Articolo 17 – Gestione delle modifiche delle TIC

Sintesi Articolo 17

L’articolo stabilisce una serie di requisiti per garantire la sicurezza, la disponibilità e la riservatezza dei dati nelle entità finanziarie. Le procedure per la gestione delle modifiche delle TIC devono includere verifiche di sicurezza, meccanismi di indipendenza nelle funzioni di approvazione, una chiara definizione dei ruoli e delle responsabilità, documentazione dettagliata delle modifiche e piani di emergenza. Inoltre, le controparti centrali e i depositari centrali di titoli devono eseguire test rigorosi sui loro sistemi TIC dopo modifiche significative, coinvolgendo varie parti interessate, per simulare condizioni di stress e assicurare la resilienza operativa.

  1. Nell’ambito delle salvaguardie volte a preservare la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, le entità finanziarie includono nelle procedure per la gestione delle modifiche delle TIC di cui all’articolo 9, paragrafo 4, lettera e), del regolamento (UE) 2022/2554, per tutte le modifiche a software, hardware, componenti firmware, sistemi o parametri di sicurezza, tutti gli elementi seguenti:
    • a) una verifica del rispetto dei requisiti di sicurezza delle TIC;
    • b) i meccanismi per garantire l’indipendenza delle funzioni che approvano le modifiche e delle funzioni responsabili della richiesta e dell’attuazione di tali modifiche;
    • c) una chiara descrizione dei ruoli e delle responsabilità per garantire che:
      • i) le modifiche siano specificate e pianificate;
      • ii) sia prevista una transizione adeguata;
      • iii) le modifiche siano testate e finalizzate in modo controllato;
      • iv) vi sia un’efficace garanzia della qualità;
    • d) la documentazione e la comunicazione dei dettagli della modifica, tra cui:
      • i) lo scopo e la portata della modifica;
      • ii) la tempistica per l’implementazione della modifica;
      • iii) i risultati attesi;
    • e) l’identificazione delle responsabilità e delle procedure di fall-back, comprese le responsabilità e le procedure per l’interruzione delle modifiche o per il ripristino in caso di modifiche non implementate correttamente;
    • f) procedure, protocolli e strumenti per la gestione delle modifiche di emergenza che forniscano adeguate salvaguardie;
    • g) procedure per documentare, rivalutare, valutare e approvare le modifiche di emergenza dopo la loro implementazione, comprese soluzioni workaround e patch;
    • h) l’identificazione dell’impatto potenziale di una modifica sulle misure di sicurezza delle TIC esistenti e la valutazione dell’eventualità che tale modifica richieda l’adozione di ulteriori misure di sicurezza delle TIC.
  2. Dopo aver apportato modifiche significative ai loro sistemi di TIC, le controparti centrali e i depositari centrali di titoli sottopongono i loro sistemi di TIC a test rigorosi simulando condizioni di stress. Se del caso, le controparti centrali coinvolgono nella progettazione e nella conduzione dei test di cui al primo comma:
    • a) i partecipanti diretti e i clienti;
    • b) le controparti centrali interoperabili;
    • c) altre parti interessate.

Se del caso, i depositari centrali di titoli coinvolgono nella progettazione e nella conduzione dei test di cui al primo comma:

a) gli utenti;

b) i fornitori di utenze critiche e di servizi critici;

c) altri depositari centrali di titoli;

d) altre infrastrutture di mercato;

e) qualsiasi altro ente con cui i depositari centrali di titoli abbiano identificato interdipendenze nella loro politica di continuità operativa delle TIC.

Tutti gli articoli