Sintesi Articolo 23
Le entità finanziarie devono stabilire ruoli chiari per rilevare e rispondere agli incidenti legati alle tecnologie dell’informazione e della comunicazione (TIC). Le entità finanziarie devono monitorare e analizzare i fattori interni ed esterni, inclusi i log e le minacce informatiche, per identificare attività anomale. Devono inoltre implementare strumenti per generare allarmi automatici in caso di anomalie e dare priorità alla gestione degli incidenti in modo tempestivo. Infine, devono proteggere le registrazioni e considerare la criticità dei servizi coinvolti nella valutazione degli incidenti.
- Le entità finanziarie stabiliscono ruoli e responsabilità chiari per individuare e rispondere efficacemente agli incidenti connessi alle TIC e alle attività anomale.
- Il meccanismo per individuare tempestivamente le attività anomale, compresi i problemi di prestazione della rete TIC e gli incidenti connessi alle TIC, di cui all’articolo 10, paragrafo 1, del regolamento (UE) 2022/2554, consente alle entità finanziarie di:
- a) raccogliere, monitorare e analizzare tutti gli elementi seguenti:
- i) i fattori interni ed esterni, compresi almeno i log acquisiti ai sensi dell’articolo 12 del presente regolamento, le informazioni provenienti dalle funzioni commerciali e TIC e qualsiasi problema segnalato dagli utenti dell’entità finanziaria;
- ii) le potenziali minacce informatiche interne ed esterne, considerando gli scenari comunemente utilizzati dagli attori delle minacce e quelli basati sulle attività di analisi delle minacce;
- iii) la notifica, da parte di un fornitore terzo di servizi TIC dell’entità finanziaria, di incidenti connessi alle TIC individuati nei sistemi e nelle reti TIC del fornitore terzo di servizi TIC e che possono avere un impatto sull’entità finanziaria;
- b) identificare attività e comportamenti anomali e applicare strumenti che generino allarmi per attività e comportamenti anomali, almeno per le risorse TIC e i patrimoni informativi a supporto di funzioni essenziali o importanti;
- c) dare priorità agli allarmi di cui alla lettera b) per consentire la gestione degli incidenti connessi alle TIC individuati entro i tempi di risoluzione previsti, come specificato dalle entità finanziarie, sia durante che al di fuori dell’orario di lavoro;
- d) registrare, analizzare e valutare qualsiasi informazione pertinente su tutte le attività e i comportamenti anomali in modo automatico o manuale.
- Ai fini della lettera b), gli strumenti di cui alla stessa lettera contengono gli strumenti che forniscono allarmi automatici basati su regole predefinite per identificare le anomalie che incidono sulla completezza e sull’integrità delle fonti di dati o dell’acquisizione dei log.
- a) raccogliere, monitorare e analizzare tutti gli elementi seguenti:
- Le entità finanziarie proteggono qualsiasi registrazione delle attività anomale da manomissioni e accessi non autorizzati a riposo, in transito e, se del caso, in uso.
- Le entità finanziarie registrano nei log tutte le informazioni pertinenti per ciascuna attività anomala individuata in modo da consentire:
- a) l’identificazione della data e dell’ora in cui si è verificata l’attività anomala;
- b) l’identificazione della data e dell’ora di individuazione dell’attività anomala;
- c) l’identificazione del tipo di attività anomala.
- Per l’avvio dei processi di individuazione degli incidenti connessi alle TIC e di risposta agli stessi di cui all’articolo 10, paragrafo 2, del regolamento (UE) 2022/2554, le entità finanziarie considerano tutti i criteri seguenti:
- a) indicazioni del fatto che in un sistema o in una rete TIC possa essere stata condotta un’attività malevola o che tale sistema o rete TIC possa essere stato compromesso;
- b) perdite di dati individuate in relazione alla disponibilità, all’autenticità, all’integrità e alla riservatezza dei dati;
- c) impatto negativo individuato sulle operazioni e sulle transazioni dell’entità finanziaria;
- d) indisponibilità dei sistemi e della rete TIC;
- Ai fini del paragrafo 5, le entità finanziarie considerano anche la criticità dei servizi interessati.