RTS Articolo 23 – Individuazione di attività anomale e criteri per l’individuazione degli incidenti connessi alle TIC e la risposta agli stessi

Home » RTS e ITS DORA » RTS sulla gestione del rischio TIC e sul quadro semplificato di gestione del rischio TIC » RTS Articolo 23 – Individuazione di attività anomale e criteri per l’individuazione degli incidenti connessi alle TIC e la risposta agli stessi
Sintesi Articolo 23

Le entità finanziarie devono stabilire ruoli chiari per rilevare e rispondere agli incidenti legati alle tecnologie dell’informazione e della comunicazione (TIC). Le entità finanziarie devono monitorare e analizzare i fattori interni ed esterni, inclusi i log e le minacce informatiche, per identificare attività anomale. Devono inoltre implementare strumenti per generare allarmi automatici in caso di anomalie e dare priorità alla gestione degli incidenti in modo tempestivo. Infine, devono proteggere le registrazioni e considerare la criticità dei servizi coinvolti nella valutazione degli incidenti.

  1. Le entità finanziarie stabiliscono ruoli e responsabilità chiari per individuare e rispondere efficacemente agli incidenti connessi alle TIC e alle attività anomale.
  2. Il meccanismo per individuare tempestivamente le attività anomale, compresi i problemi di prestazione della rete TIC e gli incidenti connessi alle TIC, di cui all’articolo 10, paragrafo 1, del regolamento (UE) 2022/2554, consente alle entità finanziarie di:
    • a) raccogliere, monitorare e analizzare tutti gli elementi seguenti:
      • i) i fattori interni ed esterni, compresi almeno i log acquisiti ai sensi dell’articolo 12 del presente regolamento, le informazioni provenienti dalle funzioni commerciali e TIC e qualsiasi problema segnalato dagli utenti dell’entità finanziaria;
      • ii) le potenziali minacce informatiche interne ed esterne, considerando gli scenari comunemente utilizzati dagli attori delle minacce e quelli basati sulle attività di analisi delle minacce;
      • iii) la notifica, da parte di un fornitore terzo di servizi TIC dell’entità finanziaria, di incidenti connessi alle TIC individuati nei sistemi e nelle reti TIC del fornitore terzo di servizi TIC e che possono avere un impatto sull’entità finanziaria;
    • b) identificare attività e comportamenti anomali e applicare strumenti che generino allarmi per attività e comportamenti anomali, almeno per le risorse TIC e i patrimoni informativi a supporto di funzioni essenziali o importanti;
    • c) dare priorità agli allarmi di cui alla lettera b) per consentire la gestione degli incidenti connessi alle TIC individuati entro i tempi di risoluzione previsti, come specificato dalle entità finanziarie, sia durante che al di fuori dell’orario di lavoro;
    • d) registrare, analizzare e valutare qualsiasi informazione pertinente su tutte le attività e i comportamenti anomali in modo automatico o manuale.
    • Ai fini della lettera b), gli strumenti di cui alla stessa lettera contengono gli strumenti che forniscono allarmi automatici basati su regole predefinite per identificare le anomalie che incidono sulla completezza e sull’integrità delle fonti di dati o dell’acquisizione dei log.
  3. Le entità finanziarie proteggono qualsiasi registrazione delle attività anomale da manomissioni e accessi non autorizzati a riposo, in transito e, se del caso, in uso.
  4. Le entità finanziarie registrano nei log tutte le informazioni pertinenti per ciascuna attività anomala individuata in modo da consentire:
    • a) l’identificazione della data e dell’ora in cui si è verificata l’attività anomala;
    • b) l’identificazione della data e dell’ora di individuazione dell’attività anomala;
    • c) l’identificazione del tipo di attività anomala.
  5. Per l’avvio dei processi di individuazione degli incidenti connessi alle TIC e di risposta agli stessi di cui all’articolo 10, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie considerano tutti i criteri seguenti:
    • a) indicazioni del fatto che in un sistema o in una rete TIC possa essere stata condotta un’attività malevola o che tale sistema o rete TIC possa essere stato compromesso;
    • b) perdite di dati individuate in relazione alla disponibilità, all’autenticità, all’integrità e alla riservatezza dei dati;
    • c) impatto negativo individuato sulle operazioni e sulle transazioni dell’entità finanziaria;
    • d) indisponibilità dei sistemi e della rete TIC;
  6. Ai fini del paragrafo 5, le entità finanziarie considerano anche la criticità dei servizi interessati.

Tutti gli articoli