RTS Articolo 24 – Componenti della politica di continuità operativa delle TIC

Home » RTS e ITS DORA » RTS sulla gestione del rischio TIC e sul quadro semplificato di gestione del rischio TIC » RTS Articolo 24 – Componenti della politica di continuità operativa delle TIC
Sintesi Articolo 24

Le entità finanziarie devono includere nella loro policy di continuità operativa delle TIC elementi dettagliati per garantire la resilienza operativa. Questi includono la descrizione degli obiettivi, l’ambito di applicazione, i criteri di attivazione, la governance, e l’allineamento con i piani generali di continuità operativa. Le controparti centrali e i depositari centrali di titoli devono assicurare che le funzioni essenziali possano essere ripristinate entro due ore e che esistano piani per mantenere la continuità in scenari catastrofici, con particolare attenzione ai siti di trattamento dati e alle interdipendenze.

  1. Le entità finanziarie includono nella loro politica di continuità operativa delle TIC di cui all’articolo 11, paragrafo 1, del regolamento (UE) 2022/2554 tutti gli elementi seguenti:
    • a) una descrizione:
      • i) degli obiettivi della politica di continuità operativa delle TIC, compresa l’interrelazione tra le TIC e la continuità operativa complessiva, e tenendo conto dei risultati dell’analisi dell’impatto sulle attività aziendali (Business Impact Analysis, BIA) di cui all’articolo 11, paragrafo 5, del regolamento (UE) 2022/2554;
      • ii) dell’ambito di applicazione degli accordi, dei piani, delle procedure e dei meccanismi di continuità operativa delle TIC, comprese le limitazioni e le esclusioni;
      • iii) dell’arco di tempo che deve essere coperto dagli accordi, dai piani, dalle procedure e dai meccanismi di continuità operativa delle TIC;
      • iv) dei criteri di attivazione e disattivazione dei piani di continuità operativa delle TIC, dei piani di risposta e ripristino relativi alle TIC e dei piani di comunicazione delle crisi;
    • b) disposizioni in materia di:
      • i) governance e organizzazione per l’attuazione della politica di continuità operativa delle TIC, compresi ruoli, responsabilità e procedure di attivazione dei livelli successivi di intervento, garantendo la disponibilità di risorse sufficienti;
      • ii) allineamento tra i piani di continuità operativa delle TIC e i piani generali di continuità operativa, per quanto riguarda almeno tutti gli aspetti seguenti:
        • 1) i potenziali scenari di disfunzione, compresi gli scenari di cui all’articolo 26, paragrafo 2, del presente regolamento;
        • 2) gli obiettivi di ripristino, specificando che l’entità finanziaria è in grado di ripristinare l’operatività delle proprie funzioni essenziali o importanti dopo le perturbazioni rispettando un obiettivo in materia di tempi di ripristino e un obiettivo in materia di punti di ripristino;
      • iii) l’elaborazione di piani di continuità operativa TIC per gravi perturbazioni dell’attività all’interno di tali piani, e la definizione delle priorità delle azioni di continuità operativa delle TIC utilizzando un approccio basato sul rischio;
      • iv) l’elaborazione, il test e il riesame dei piani di risposta e ripristino relativi alle TIC, conformemente agli articoli 25 e 26 del presente regolamento;
      • v) il riesame dell’efficacia degli accordi, dei piani, delle procedure e dei meccanismi di continuità operativa delle TIC attuati, conformemente all’articolo 26 del presente regolamento;
      • vi) l’allineamento della politica di continuità operativa delle TIC rispetto a:
        • 1) la politica di comunicazione di cui all’articolo 14, paragrafo 2, del regolamento (UE) 2022/2554;
        • 2) le azioni di comunicazione e gestione delle crisi di cui all’articolo 11, paragrafo 2, lettera e), del regolamento (UE) 2022/2554.
  2. Oltre ai requisiti di cui al paragrafo 1, le controparti centrali provvedono affinché la loro politica di continuità operativa delle TIC:
    • a) preveda un tempo massimo di ripristino delle funzioni essenziali non superiore a due ore;
    • b) tenga conto dei collegamenti esterni e delle interdipendenze all’interno delle infrastrutture finanziarie, comprese le sedi di negoziazione compensate dalla controparte centrale, i sistemi di pagamento e di regolamento titoli e gli enti creditizi utilizzati dalla controparte centrale o da una controparte centrale collegata;
    • c) preveda la predisposizione di dispositivi per:
      • i) garantire la continuità delle funzioni essenziali o importanti della controparte centrale sulla base di scenari catastrofici;
      • ii) mantenere un sito secondario per il trattamento dati in grado di garantire la continuità delle funzioni essenziali o importanti della controparte centrale, identico al sito primario;
      • iii) mantenere o avere accesso immediato a un sito operativo secondario, per consentire al personale di garantire la continuità del servizio in caso di indisponibilità del sito primario;
      • iv) considerare la necessità di altri siti per il trattamento dati, in particolare se la diversità dei profili di rischio dei siti primari e secondari non garantisce sufficientemente che gli obiettivi di continuità operativa della controparte centrale saranno raggiunti in tutti gli scenari.
      • Ai fini della lettera a), le controparti centrali completano le procedure e i pagamenti di fine giornata all’ora e nel giorno richiesti in tutte le circostanze.
      • Ai fini della lettera c), punto i), i dispositivi di cui a tale punto riguardano la disponibilità di risorse umane adeguate, il periodo massimo di inutilizzabilità delle funzioni essenziali e il passaggio e ripristino in un sito secondario.
      • Ai fini della lettera c), punto ii), il sito secondario per il trattamento dati di cui alla suddetta lettera ha un profilo di rischio geografico distinto da quello del sito primario.
  3. Oltre ai requisiti di cui al paragrafo 1, i depositari centrali di titoli provvedono affinché la loro politica di continuità operativa delle TIC:
    • a) tenga conto di tutti i collegamenti e le interdipendenze con gli utenti, i fornitori di utenze critiche e di servizi critici, gli altri depositari centrali di titoli e altre infrastrutture di mercato;
    • b) preveda che gli accordi in materia di continuità operativa delle TIC garantiscano che l’obiettivo di tempo di ripristino per le funzioni essenziali o importanti non sia superiore a due ore.
  4. Oltre ai requisiti di cui al paragrafo 1, le sedi di negoziazione provvedono affinché la loro politica di continuità operativa delle TIC garantisca che:
    • a) la negoziazione possa riprendere entro approssimativamente due ore dall’evento perturbatore;
    • b) la quantità massima di dati che potrebbe essere persa dai servizi informatici della sede di negoziazione dopo un evento perturbatore sia prossima allo zero.

Tutti gli articoli