Sintesi Articolo 25
Le entità finanziarie devono testare i loro piani di continuità operativa delle TIC, tenendo conto dell’analisi dell’impatto aziendale e della valutazione dei rischi informatici. I test devono simulare scenari di perturbazioni gravi ma plausibili e coinvolgere servizi TIC forniti da terzi. Devono verificare la capacità dell’infrastruttura di passare a sistemi ridondanti e sfidare i presupposti sui piani di continuità, incluse le comunicazioni di crisi. Inoltre, devono coinvolgere direttamente partecipanti, fornitori esterni e altre entità rilevanti. I risultati dei test devono essere documentati e le carenze risolte.
- Nel testare i piani di continuità operativa delle TIC ai sensi dell’articolo 11, paragrafo 6, del regolamento (UE) 2022/2554, le entità finanziarie tengono conto dell’analisi dell’impatto sulle attività aziendali (BIA) dell’entità finanziaria e della valutazione dei rischi informatici di cui all’articolo 3, paragrafo 1, lettera b), del presente regolamento.
- Le entità finanziarie valutano, nel testare i loro piani di continuità operativa delle TIC di cui al paragrafo 1, se sono in grado di garantire la continuità delle funzioni essenziali o importanti dell’entità finanziaria. I test:
- a) sono effettuati sulla base di scenari di test che simulano potenziali perturbazioni, compresa un’adeguata serie di scenari gravi ma plausibili;
- b) comprendono il test dei servizi TIC forniti da fornitori terzi di servizi TIC, ove applicabile;
- c) per le entità finanziarie diverse dalle microimprese di cui all’articolo 11, paragrafo 6, secondo comma, del regolamento (UE) 2022/2554, contengono scenari di passaggio dall’infrastruttura TIC primaria alla capacità ridondante, ai backup e alle attrezzature ridondanti;
- d) sono concepiti per mettere in discussione i presupposti su cui si basano i piani di continuità operativa, compresi i meccanismi di governance e i piani di comunicazione delle crisi;
- e) contengono procedure per verificare la capacità del personale delle entità finanziarie, dei fornitori terzi di servizi TIC, dei sistemi di TIC e dei servizi TIC di rispondere adeguatamente agli scenari debitamente presi in considerazione conformemente all’articolo 26, paragrafo 2.
- Ai fini della lettera a), le entità finanziarie includono sempre nei test gli scenari considerati per l’elaborazione dei piani di continuità operativa.
- Ai fini della lettera b), le entità finanziarie prendono in debita considerazione gli scenari legati all’insolvenza o a disfunzioni dei fornitori terzi di servizi TIC o ai rischi politici nelle giurisdizioni dei fornitori terzi di servizi TIC, se del caso.
- Ai fini della lettera c), il test verifica se almeno le funzioni essenziali o importanti possono essere eseguite in modo appropriato per un periodo di tempo sufficiente e se è possibile ripristinare il normale funzionamento.
- Oltre ai requisiti di cui al paragrafo 2, le controparti centrali coinvolgono nei test dei loro piani di continuità operativa delle TIC, di cui al paragrafo 1:
- a) i partecipanti diretti;
- b) i fornitori esterni;
- c) i pertinenti enti dell’infrastruttura finanziaria con cui le controparti centrali hanno identificato interdipendenze nelle loro politiche di continuità operativa.
- Oltre ai requisiti di cui al paragrafo 2, i depositari centrali di titoli coinvolgono nei test dei loro piani di continuità operativa delle TIC, di cui al paragrafo 1, a seconda dei casi:
- a) gli utenti dei depositari centrali di titoli;
- b) i fornitori di utenze critiche e di servizi critici;
- c) altri depositari centrali di titoli;
- d) altre infrastrutture di mercato;
- e) qualsiasi altro ente con cui i depositari centrali di titoli abbiano identificato interdipendenze nella loro politica di continuità operativa.
- Le entità finanziarie documentano i risultati dei test di cui al paragrafo 1. Tutte le carenze individuate in seguito a tali test sono analizzate, affrontate e comunicate all’organo di gestione.