Sintesi Articolo 26
Le entità finanziarie devono sviluppare piani di risposta e ripristino per le tecnologie dell’informazione e comunicazione (TIC) basati sull’analisi dell’impatto aziendale (BIA). Questi piani devono specificare le condizioni di attivazione, garantire la continuità e il ripristino dei servizi TIC essenziali, e documentare ruoli e responsabilità. Devono inoltre considerare vari scenari di crisi, come attacchi informatici, disastri naturali e instabilità sociale, e prevedere sia soluzioni a breve che a lungo termine. In caso di fallimento delle misure primarie, devono essere previste opzioni alternative.
- Nell’elaborare i piani di risposta e ripristino relativi alle TIC di cui all’articolo 11, paragrafo 3, del regolamento (UE) 2022/2554, le entità finanziarie tengono conto dei risultati dell’analisi dell’impatto sulle attività aziendali (BIA) dell’entità finanziaria. Il piano di risposta e ripristino relativo alle TIC:
- a) specifica le condizioni che ne determinano l’attivazione o la disattivazione e le eventuali eccezioni per tale attivazione o disattivazione;
- b) descrive le azioni da intraprendere per garantire la disponibilità, l’integrità, la continuità e il ripristino almeno dei sistemi e dei servizi TIC a supporto di funzioni essenziali o importanti dell’entità finanziaria;
- c) è concepito per soddisfare gli obiettivi di ripristino delle operazioni delle entità finanziarie;
- d) è documentato e reso disponibile al personale coinvolto nell’esecuzione dei piani di risposta e ripristino relativi alle TIC ed è facilmente accessibile in caso di emergenza;
- e) prevede opzioni di ripristino sia a breve che a lungo termine, compreso il ripristino parziale dei sistemi;
- f) stabilisce gli obiettivi dei piani di risposta e ripristino relativi alle TIC e le condizioni per dichiarare la proficua esecuzione di tali piani.
- Ai fini della lettera d), le entità finanziarie specificano chiaramente ruoli e responsabilità.
- I piani di risposta e ripristino relativi alle TIC di cui al paragrafo 1 identificano gli scenari pertinenti, compresi quelli di gravi perturbazioni delle attività e di accresciuta probabilità del verificarsi di una perturbazione. Tali piani sviluppano scenari basati sulle informazioni correnti relative alle minacce e sugli insegnamenti tratti da precedenti eventi di perturbazioni delle attività. Le entità finanziarie tengono debitamente conto di tutti gli scenari seguenti:
- a) attacchi informatici e passaggio tra l’infrastruttura TIC primaria e la capacità ridondante, i backup e le attrezzature ridondanti;
- b) scenari in cui la qualità dell’esercizio di una funzione essenziale o importante si deteriora a un livello inaccettabile o viene meno, e considerano adeguatamente il potenziale impatto dell’insolvenza o di altre disfunzioni di pertinenti fornitori terzi di servizi TIC;
- c) disfunzione parziale o totale dei locali, compresi gli uffici e le sedi aziendali, e dei centri di elaborazione dati;
- d) disfunzione sostanziale delle risorse TIC o dell’infrastruttura di comunicazione;
- e) non disponibilità di un numero critico di personale o di membri del personale incaricati di garantire la continuità delle operazioni;
- f) impatto dei cambiamenti climatici e degli eventi legati al degrado ambientale, delle catastrofi naturali, delle pandemie e degli attacchi fisici, comprese le intrusioni e gli attacchi terroristici;
- g) attacchi interni;
- h) instabilità politica e sociale anche, se del caso, nella giurisdizione del fornitore terzo di servizi TIC e nel luogo in cui i dati sono memorizzati ed elaborati;
- i) interruzioni di corrente generalizzate.
- Qualora non sia possibile attuare le misure primarie di ripristino a breve termine a causa di costi, rischi, logistica o circostanze impreviste, i piani di risposta e ripristino relativi alle TIC di cui al paragrafo 1 prendono in considerazione opzioni alternative.
- Nell’ambito dei piani di risposta e ripristino relativi alle TIC di cui al paragrafo 1, le entità finanziarie considerano e attuano misure di continuità per attenuare le disfunzioni dei fornitori terzi di servizi TIC a supporto di funzioni essenziali o importanti dell’entità finanziaria.