RTS Articolo 2 – Elementi generali delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC

Home » RTS e ITS DORA » RTS sulla gestione del rischio TIC e sul quadro semplificato di gestione del rischio TIC » RTS Articolo 2 – Elementi generali delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC
Sintesi Articolo 2

Le entità finanziarie integrano le loro policy di sicurezza delle TIC e della sicurezza delle informazioni nel quadro di gestione dei rischi informatici. Le policy devono garantire la sicurezza delle reti, prevenire l’uso illecito dei dati e preservare l’integrità e la riservatezza delle informazioni. Inoltre, devono essere allineate con gli obiettivi di sicurezza dell’entità finanziaria, contenere misure di monitoraggio, definire responsabilità a tutti i livelli e specificare le conseguenze per la non conformità. Le policy devono anche essere riesaminate regolarmente e adeguate alle modifiche rilevanti nell’entità o nel panorama delle minacce.

  1. Le entità finanziarie assicurano che le loro politiche per la sicurezza delle TIC, la sicurezza delle informazioni nonché le procedure, i protocolli e gli strumenti correlati di cui all’articolo 9, paragrafo 2, del regolamento (UE) 2022/2554 siano integrati nel loro quadro per la gestione dei rischi informatici. Le entità finanziarie definiscono politiche, procedure, protocolli e strumenti per la sicurezza delle TIC di cui al presente capo che:
    • a) garantiscono la sicurezza delle reti;
    • b) contengono adeguate salvaguardie contro le intrusioni e l’uso illecito dei dati;
    • c) preservano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati, anche con tecniche crittografiche;
    • d) garantiscono un’accurata e pronta trasmissione dei dati senza gravi perturbazioni né indebiti ritardi.
  2. Le entità finanziarie provvedono affinché le politiche per la sicurezza delle TIC di cui al paragrafo 1:
    • a) siano allineate agli obiettivi in materia di sicurezza delle informazioni dell’entità finanziaria inclusi nella strategia di resilienza operativa digitale di cui all’articolo 6, paragrafo 8, del regolamento (UE) 2022/2554;
    • b) indichino la data di approvazione formale delle politiche per la sicurezza delle TIC da parte dell’organo di gestione;
    • c) contengano indicatori e misure per:
      • i) monitorare l’attuazione delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC;
      • ii) registrare le eccezioni a tale attuazione;
      • iii) garantire la resilienza operativa digitale dell’entità finanziaria nel caso delle eccezioni di cui al punto ii);
    • d) specifichino le responsabilità del personale a tutti i livelli per garantire la sicurezza delle TIC dell’entità finanziaria;
    • e) specifichino le conseguenze dell’inosservanza delle politiche per la sicurezza delle TIC da parte del personale dell’entità finanziaria, laddove non siano previste disposizioni in tal senso in altre politiche dell’entità finanziaria;
    • f) elenchino la documentazione da conservare;
    • g) specifichino le modalità di separazione dei compiti nel contesto del modello delle tre linee di difesa o di un altro modello interno di gestione e controllo del rischio, a seconda dei casi, per evitare conflitti di interessi;
    • h) tengano conto delle pratiche più avanzate e, se del caso, delle norme definite all’articolo 2, punto 1), del regolamento (UE) n. 1025/2012;
    • i) identifichino i ruoli e le responsabilità per l’elaborazione, l’attuazione e la manutenzione delle politiche, delle procedure, dei protocolli e degli strumenti per la sicurezza delle TIC;
    • j) siano sottoposte a riesame in conformità dell’articolo 6, paragrafo 5, del regolamento (UE) 2022/2554;
    • k) tengano conto di modifiche sostanziali riguardanti l’entità finanziaria, comprese modifiche sostanziali nelle attività o nei processi dell’entità finanziaria, nel panorama delle minacce informatiche o negli obblighi giuridici applicabili.

Tutti gli articoli