Sintesi Articolo 22
Le entità finanziarie devono elaborare e implementare una policy per la gestione degli incidenti legati alle TIC. Questa policy deve documentare il processo di gestione degli incidenti, includendo un elenco di contatti rilevanti e misure per l’identificazione e il monitoraggio delle minacce informatiche, gestione delle vulnerabilità e attività anomale. Le entità finanziarie devono anche conservare in modo sicuro le prove degli incidenti per un periodo adeguato e analizzare gli incidenti significativi o ricorrenti. Tutte le misure devono essere conformi ai regolamenti dell’UE pertinenti.
Nell’ambito dei meccanismi per individuare le attività anomale, compresi i problemi di prestazione della rete delle TIC e gli incidenti connessi alle TIC, le entità finanziarie elaborano, documentano e attuano una politica relativa agli incidenti connessi alle TIC attraverso la quale:
- a) documentano il processo di gestione degli incidenti connessi alle TIC di cui all’articolo 17 del regolamento (UE) 2022/2554;
- b) stilano un elenco dei pertinenti contatti con le funzioni interne e i portatori di interessi esterni che sono direttamente coinvolti nella sicurezza delle operazioni riguardanti le TIC, anche per quanto riguarda:
- i) l’individuazione e il monitoraggio delle minacce informatiche;
- ii) l’individuazione di attività anomale;
- iii) la gestione delle vulnerabilità;
- c) definiscono, attuano e gestiscono meccanismi tecnici, organizzativi e operativi per supportare il processo di gestione degli incidenti connessi alle TIC, compresi i meccanismi per consentire una tempestiva individuazione di attività e comportamenti anomali conformemente all’articolo 23 del presente regolamento;
- d) conservano tutte le prove relative agli incidenti connessi alle TIC per un periodo non superiore a quello necessario per le finalità per cui i dati sono raccolti, commisurato alla criticità delle funzioni commerciali interessate, dei processi di supporto e dei patrimoni informativi e delle risorse TIC, conformemente all’articolo 15 del regolamento delegato (UE) 2024/1772 della Commissione (12) e a qualsiasi obbligo di conservazione applicabile ai sensi del diritto dell’Unione;
- e) definiscono e attuano meccanismi di analisi degli incidenti significativi o ricorrenti connessi alle TIC e degli schemi relativi al numero e al verificarsi di incidenti connessi alle TIC.
Ai fini della lettera d), le entità finanziarie conservano le prove di cui alla stessa lettera in modo sicuro.