Sintesi Articolo 2
Le entità finanziarie integrano le loro policy di sicurezza delle TIC e della sicurezza delle informazioni nel quadro di gestione dei rischi informatici. Le policy devono garantire la sicurezza delle reti, prevenire l’uso illecito dei dati e preservare l’integrità e la riservatezza delle informazioni. Inoltre, devono essere allineate con gli obiettivi di sicurezza dell’entità finanziaria, contenere misure di monitoraggio, definire responsabilità a tutti i livelli e specificare le conseguenze per la non conformità. Le policy devono anche essere riesaminate regolarmente e adeguate alle modifiche rilevanti nell’entità o nel panorama delle minacce.
- Le entità finanziarie assicurano che le loro politiche per la sicurezza delle TIC, la sicurezza delle informazioni nonché le procedure, i protocolli e gli strumenti correlati di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554 siano integrati nel loro quadro per la gestione dei rischi informatici. Le entità finanziarie definiscono politiche, procedure, protocolli e strumenti per la sicurezza delle TIC di cui al presente capo che:
- a) garantiscono la sicurezza delle reti;
- b) contengono adeguate salvaguardie contro le intrusioni e l’uso illecito dei dati;
- c) preservano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, anche con tecniche crittografiche;
- d) garantiscono un’accurata e pronta trasmissione dei dati senza gravi perturbazioni né indebiti ritardi.
- Le entità finanziarie provvedono affinché le politiche per la sicurezza delle TIC di cui al paragrafo 1:
- a) siano allineate agli obiettivi in materia di sicurezza delle informazioni dell’entità finanziaria inclusi nella strategia di resilienza operativa digitale di cui all’articolo 6, paragrafo 8, del regolamento (UE) 2022/2554;
- b) indichino la data di approvazione formale delle politiche per la sicurezza delle TIC da parte dell’organo di gestione;
- c) contengano indicatori e misure per:
- i) monitorare l’attuazione delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC;
- ii) registrare le eccezioni a tale attuazione;
- iii) garantire la resilienza operativa digitale dell’entità finanziaria nel caso delle eccezioni di cui al punto ii);
- d) specifichino le responsabilità del personale a tutti i livelli per garantire la sicurezza delle TIC dell’entità finanziaria;
- e) specifichino le conseguenze dell’inosservanza delle politiche per la sicurezza delle TIC da parte del personale dell’entità finanziaria, laddove non siano previste disposizioni in tal senso in altre politiche dell’entità finanziaria;
- f) elenchino la documentazione da conservare;
- g) specifichino le modalità di separazione dei compiti nel contesto del modello delle tre linee di difesa o di un altro modello interno di gestione e controllo del rischio, a seconda dei casi, per evitare conflitti di interessi;
- h) tengano conto delle pratiche più avanzate e, se del caso, delle norme definite all’articolo 2, punto 1), del regolamento (UE) n. 1025/2012;
- i) identifichino i ruoli e le responsabilità per l’elaborazione, l’attuazione e la manutenzione delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC;
- j) siano sottoposte a riesame in conformità dell’articolo 6, paragrafo 5, del regolamento (UE) 2022/2554;
- k) tengano conto di modifiche sostanziali riguardanti l’entità finanziaria, comprese modifiche sostanziali nelle attività o nei processi dell’entità finanziaria, nel panorama delle minacce informatiche o negli obblighi giuridici applicabili.