Sintesi Articolo 19
Le entità finanziarie devono integrare nella loro policy delle risorse umane elementi specifici relativi alla sicurezza delle TIC. Questi includono l’assegnazione di responsabilità specifiche in materia di sicurezza, l’obbligo per il personale e i fornitori terzi di rispettare le policy di sicurezza dell’entità finanziaria, e la consapevolezza dei canali di segnalazione per comportamenti anomali. Inoltre, il personale deve restituire tutte le risorse TIC e i beni informativi dell’entità finanziaria alla fine del rapporto di lavoro.
Le entità finanziarie includono nella loro politica delle risorse umane o in altre politiche pertinenti tutti gli elementi seguenti relativi alla sicurezza delle TIC:
- a) l’identificazione e l’assegnazione di eventuali responsabilità specifiche in materia di sicurezza delle TIC;
- b) l’obbligo, per il personale dell’entità finanziaria e dei fornitori terzi di servizi TIC che utilizzano o accedono alle risorse TIC dell’entità finanziaria, di:
- i) essere informati e rispettare le politiche, le procedure e i protocolli di sicurezza delle TIC dell’entità finanziaria;
- ii) essere a conoscenza dei canali di segnalazione predisposti dall’entità finanziaria per l’individuazione di comportamenti anomali, compresi, se del caso, i canali di segnalazione stabiliti in linea con la direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio (11);
- iii) per il personale, restituire all’entità finanziaria, alla cessazione del rapporto di lavoro, tutte le risorse TIC e i patrimoni informativi materiali in loro possesso che appartengono all’entità finanziaria