RTS Articolo 25 – Test dei piani di continuità operativa delle TIC

Home » RTS e ITS DORA » RTS sulla gestione del rischio TIC e sul quadro semplificato di gestione del rischio TIC » RTS Articolo 25 – Test dei piani di continuità operativa delle TIC
Sintesi Articolo 25

Le entità finanziarie devono testare i loro piani di continuità operativa delle TIC, tenendo conto dell’analisi dell’impatto aziendale e della valutazione dei rischi informatici. I test devono simulare scenari di perturbazioni gravi ma plausibili e coinvolgere servizi TIC forniti da terzi. Devono verificare la capacità dell’infrastruttura di passare a sistemi ridondanti e sfidare i presupposti sui piani di continuità, incluse le comunicazioni di crisi. Inoltre, devono coinvolgere direttamente partecipanti, fornitori esterni e altre entità rilevanti. I risultati dei test devono essere documentati e le carenze risolte.

  1. Nel testare i piani di continuità operativa delle TIC ai sensi dell’articolo 11, paragrafo 6, del regolamento (UE) 2022/2554, le entità finanziarie tengono conto dell’analisi dell’impatto sulle attività aziendali (BIA) dell’entità finanziaria e della valutazione dei rischi informatici di cui all’articolo 3, paragrafo 1, lettera b), del presente regolamento.
  2. Le entità finanziarie valutano, nel testare i loro piani di continuità operativa delle TIC di cui al paragrafo 1, se sono in grado di garantire la continuità delle funzioni essenziali o importanti dell’entità finanziaria. I test:
    • a) sono effettuati sulla base di scenari di test che simulano potenziali perturbazioni, compresa un’adeguata serie di scenari gravi ma plausibili;
    • b) comprendono il test dei servizi TIC forniti da fornitori terzi di servizi TIC, ove applicabile;
    • c) per le entità finanziarie diverse dalle microimprese di cui all’articolo 11, paragrafo 6, secondo comma, del regolamento (UE) 2022/2554, contengono scenari di passaggio dall’infrastruttura TIC primaria alla capacità ridondante, ai backup e alle attrezzature ridondanti;
    • d) sono concepiti per mettere in discussione i presupposti su cui si basano i piani di continuità operativa, compresi i meccanismi di governance e i piani di comunicazione delle crisi;
    • e) contengono procedure per verificare la capacità del personale delle entità finanziarie, dei fornitori terzi di servizi TIC, dei sistemi di TIC e dei servizi TIC di rispondere adeguatamente agli scenari debitamente presi in considerazione conformemente all’articolo 26, paragrafo 2.
    • Ai fini della lettera a), le entità finanziarie includono sempre nei test gli scenari considerati per l’elaborazione dei piani di continuità operativa.
    • Ai fini della lettera b), le entità finanziarie prendono in debita considerazione gli scenari legati all’insolvenza o a disfunzioni dei fornitori terzi di servizi TIC o ai rischi politici nelle giurisdizioni dei fornitori terzi di servizi TIC, se del caso.
    • Ai fini della lettera c), il test verifica se almeno le funzioni essenziali o importanti possono essere eseguite in modo appropriato per un periodo di tempo sufficiente e se è possibile ripristinare il normale funzionamento.
  3. Oltre ai requisiti di cui al paragrafo 2, le controparti centrali coinvolgono nei test dei loro piani di continuità operativa delle TIC, di cui al paragrafo 1:
    • a) i partecipanti diretti;
    • b) i fornitori esterni;
    • c) i pertinenti enti dell’infrastruttura finanziaria con cui le controparti centrali hanno identificato interdipendenze nelle loro politiche di continuità operativa.
  4. Oltre ai requisiti di cui al paragrafo 2, i depositari centrali di titoli coinvolgono nei test dei loro piani di continuità operativa delle TIC, di cui al paragrafo 1, a seconda dei casi:
    • a) gli utenti dei depositari centrali di titoli;
    • b) i fornitori di utenze critiche e di servizi critici;
    • c) altri depositari centrali di titoli;
    • d) altre infrastrutture di mercato;
    • e) qualsiasi altro ente con cui i depositari centrali di titoli abbiano identificato interdipendenze nella loro politica di continuità operativa.
  5. Le entità finanziarie documentano i risultati dei test di cui al paragrafo 1. Tutte le carenze individuate in seguito a tali test sono analizzate, affrontate e comunicate all’organo di gestione.

Tutti gli articoli