RTS Articolo 28 – Governance e organizzazione

Sintesi Articolo 28

Le entità finanziarie di cui all’articolo 16 DORA devono adottare un quadro di gestione e controllo interno per garantire una gestione efficace dei rischi informatici, assicurando un’elevata resilienza operativa digitale. Il management è responsabile della strategia di gestione dei rischi, stabilendo ruoli, obiettivi di sicurezza e risorse necessarie. Le policy devono essere periodicamente riesaminate, con adeguate procedure e protocolli per proteggere le risorse digitali. Le entità finanziarie possono esternalizzare alcune attività, ma rimangono responsabili della conformità. Il quadro di gestione deve essere soggetto a audit interni indipendenti, con azioni correttive tempestive basate sui risultati delle verifiche.

  1. Le entità finanziarie di cui all’articolo 16, paragrafo 1, del regolamento (UE) 2022/2554 predispongono un quadro di gestione e di controllo interno che garantisce una gestione efficace e prudente dei rischi informatici al fine di acquisire un elevato livello di resilienza operativa digitale.
  2. Le entità finanziarie di cui al paragrafo 1, nell’ambito del quadro semplificato per la gestione dei rischi informatici, provvedono affinché il loro organo di gestione:
    • a) abbia la responsabilità generale di assicurare che il quadro semplificato per la gestione dei rischi informatici consenta di realizzare la strategia aziendale dell’entità finanziaria conformemente alla sua propensione al rischio e garantisca che il rischio informatico sia considerato in tale contesto;
    • b) definisca chiaramente ruoli e responsabilità per tutti i compiti connessi alle TIC;
    • c) definisca gli obiettivi di sicurezza delle informazioni e i requisiti in materia di TIC;
    • d) approvi, supervisioni e riesamini periodicamente:
      • i) la classificazione dei patrimoni informativi dell’entità finanziaria di cui all’articolo 30, paragrafo 1, del presente regolamento, l’elenco dei principali rischi identificati, l’analisi dell’impatto sull’attività e le relative politiche;
      • ii) i piani di continuità operativa dell’entità finanziaria e le misure di risposta e recupero di cui all’articolo 16, paragrafo 1, lettera f), del regolamento (UE) 2022/2554;
    • e) assegni e riesamini almeno una volta all’anno le risorse finanziarie necessarie per soddisfare le esigenze di resilienza operativa digitale dell’entità finanziaria rispetto a tutti i tipi di risorse, compresi i pertinenti programmi di sensibilizzazione sulla sicurezza delle TIC e le attività di formazione sulla resilienza operativa digitale nonché le competenze in materia di TIC per tutto il personale;
    • f) specifichi e attui le politiche e le misure di cui ai capi I, II e III del presente titolo per identificare, valutare e gestire i rischi informatici a cui l’entità finanziaria è esposta;
    • g) identifichi e attui le procedure, i protocolli TIC e gli strumenti necessari per proteggere tutti i patrimoni informativi e le risorse TIC;
    • h) garantisca che il personale dell’entità finanziaria sia tenuto aggiornato con conoscenze e competenze adeguate per comprendere e valutare i rischi informatici e il loro impatto sulle operazioni dell’entità finanziaria, in funzione del rischio informatico gestito;
    • i) stabilisca le modalità di comunicazione, tra cui la frequenza, la forma e il contenuto delle relazioni all’organo di gestione sulla sicurezza delle informazioni e sulla resilienza operativa digitale.
  3. Le entità finanziarie di cui al paragrafo 1 possono, conformemente alla normativa settoriale dell’Unione e nazionale, esternalizzare a fornitori infragruppo di servizi TIC o a fornitori terzi di servizi TIC i compiti di verifica della conformità ai requisiti in materia di gestione dei rischi informatici. In caso di esternalizzazione, le entità finanziarie rimangono pienamente responsabili di verificare la conformità ai requisiti in materia di gestione dei rischi informatici.
  4. Le entità finanziarie di cui al paragrafo 1 garantiscono un’opportuna separazione e indipendenza tra funzioni di controllo e funzioni di audit interno.
  5. Le entità finanziarie di cui al paragrafo 1 provvedono affinché il loro quadro semplificato per la gestione dei rischi informatici sia sottoposto a verifiche di audit interne effettuate da addetti all’audit in linea con i piani di audit delle entità finanziarie. Tali addetti all’audit possiedono conoscenze, competenze ed esperienze adeguate in materia di rischi informatici e sono indipendenti. La frequenza e l’oggetto delle verifiche di audit in materia di TIC sono commisurati ai rischi connessi alle TIC cui è esposta l’entità finanziaria.
  6. Sulla base delle risultanze della verifica di audit di cui al paragrafo 5, le entità finanziarie di cui al paragrafo 1 provvedono a verificare e correggere tempestivamente le criticità emerse da tale verifica.

Tutti gli articoli