Sintesi Articolo 27
Le entità finanziarie devono presentare una relazione sul riesame del quadro per la gestione dei rischi informatici secondo il regolamento (UE) 2022/2554, in formato elettronico e ricercabile. La relazione deve includere informazioni chiave come: l’identificazione dell’entità, il contesto operativo, le modifiche rilevanti rispetto alla precedente relazione, una sintesi del rischio informatico e delle misure adottate per mitigarlo. Inoltre, deve fornire dettagli sui responsabili del riesame, sulle date rilevanti, sui risultati del riesame e sugli sviluppi futuri previsti. La relazione deve anche includere una valutazione degli audit interni e dei test di resilienza.
- Le entità finanziarie presentano la relazione sul riesame del quadro per la gestione dei rischi informatici di cui all’articolo 6, paragrafo 5, del regolamento (UE) 2022/2554 in un formato elettronico che permetta la ricerca al suo interno.
- Le entità finanziarie includono nella relazione di cui al paragrafo 1 tutte le informazioni seguenti:
- a) una sezione introduttiva che:
- i) identifica chiaramente l’entità finanziaria oggetto della relazione e descrive la sua struttura di gruppo, se pertinente;
- ii) descrive il contesto della relazione in termini di natura, portata e complessità dei servizi, delle attività e delle operazioni dell’entità finanziaria, della sua organizzazione, delle funzioni essenziali identificate, della strategia, dei principali progetti o attività in corso, dei rapporti e della sua dipendenza da servizi e sistemi di TIC interni e appaltati o delle implicazioni che una perdita totale o un grave degrado di tali sistemi avrebbe in termini di funzioni essenziali o importanti e di efficienza del mercato;
- iii) riassume le modifiche di rilievo apportate al quadro per la gestione dei rischi informatici rispetto alla precedente relazione presentata;
- iv) fornisce una sintesi di livello esecutivo del profilo di rischio informatico corrente e a breve termine, del panorama delle minacce, della valutazione dell’efficacia dei controlli e della posizione in materia di sicurezza dell’entità finanziaria;
- b) la data di approvazione della relazione da parte dell’organo di gestione dell’entità finanziaria;
- c) una descrizione del motivo del riesame del quadro per la gestione dei rischi informatici conformemente all’articolo 6, paragrafo 5, del regolamento (UE) 2022/2554;
- d) le date di inizio e fine del periodo del riesame;
- e) l’indicazione della funzione responsabile del riesame;
- f) una descrizione delle modifiche e dei miglioramenti di rilievo apportati al quadro per la gestione dei rischi informatici rispetto al riesame precedente;
- g) una sintesi delle risultanze del riesame e un’analisi e una valutazione dettagliate della gravità delle debolezze, delle carenze e delle lacune del quadro per la gestione dei rischi informatici durante il periodo del riesame;
- h) una descrizione delle misure volte ad affrontare le debolezze, le carenze e le lacune identificate, che comprenda tutti gli elementi seguenti:
- i) una sintesi delle misure adottate per porre rimedio alle debolezze, alle carenze e alle lacune identificate;
- ii) una data prevista per l’attuazione delle misure e le date relative al controllo interno dell’attuazione, comprese le informazioni sullo stato di avanzamento dell’attuazione di tali misure alla data di redazione della relazione, spiegando, se del caso, se esiste il rischio di non rispettare le scadenze;
- iii) gli strumenti da utilizzare e l’identificazione della funzione responsabile dell’esecuzione delle misure, specificando se gli strumenti e le funzioni sono interni o esterni;
- iv) una descrizione dell’impatto delle modifiche previste dalle misure sulle risorse di bilancio, umane e materiali dell’entità finanziaria, comprese le risorse dedicate all’attuazione di eventuali misure correttive;
- v) le informazioni sul processo di informazione dell’autorità competente, se del caso;
- vi) nel caso in cui le debolezze, le carenze o le lacune identificate non siano oggetto di misure correttive, una spiegazione dettagliata dei criteri utilizzati per analizzare l’impatto di tali debolezze, carenze o lacune, per valutare il relativo rischio informatico residuo e dei criteri utilizzati per accettare il relativo rischio residuo;
- i) informazioni sugli ulteriori sviluppi previsti del quadro per la gestione dei rischi informatici;
- j) le conclusioni derivanti dal riesame del quadro per la gestione dei rischi informatici;
- k) informazioni relative ai riesami precedenti, tra cui:
- i) un elenco dei riesami precedenti effettuati fino a quel momento;
- ii se del caso, lo stato di attuazione delle misure correttive identificate nell’ultima relazione;
- iii) nel caso in cui le misure correttive proposte in occasione di riesami precedenti si siano rivelate inefficaci o abbiano creato problemi imprevisti, una descrizione di come tali misure correttive potrebbero essere migliorate o di tali problemi imprevisti;
- l) le fonti di informazione utilizzate per la preparazione della relazione, compresi tutti gli elementi seguenti:
- i) per le entità finanziarie diverse dalle microimprese di cui all’articolo 6, paragrafo 6, del regolamento (UE) 2022/2554, i risultati degli audit interni;
- ii) i risultati delle valutazioni della conformità;
- iii) i risultati dei test di resilienza operativa digitale e, se del caso, i risultati di test avanzati, basati su test di penetrazione guidati dalla minaccia (threat-led penetration testing — TLPT), di strumenti, sistemi e processi TIC;
- iv) fonti esterne.
- a) una sezione introduttiva che:
Ai fini della lettera c), se il riesame è stato avviato a seguito di istruzioni delle autorità di vigilanza o di conclusioni scaturite da pertinenti test di resilienza operativa digitale o da processi di audit, la relazione contiene riferimenti espliciti a tali istruzioni o conclusioni, in modo da consentire l’identificazione del motivo per cui è stato avviato il riesame. Se il riesame è stato avviato a seguito di incidenti connessi alle TIC, la relazione contiene l’elenco di tutti gli incidenti connessi alle TIC con l’analisi delle cause di fondo.
Ai fini della lettera f), la descrizione contiene un’analisi dell’impatto delle modifiche sulla strategia di resilienza operativa digitale, sul quadro di controllo interno delle TIC e sul quadro per la gestione dei rischi informatici dell’entità finanziaria.