RTS Articolo 3 – Gestione dei rischi informatici

Sintesi Articolo 3

Le entità finanziarie implementano policy di gestione dei rischi informatici articolate in diverse fasi chiave. Devono approvare un livello di tolleranza al rischio, valutare regolarmente le minacce e le vulnerabilità, e adottare misure per mitigare tali rischi. Inoltre, devono documentare i rischi residui e riesaminarli annualmente, monitorando costantemente i cambiamenti nel panorama delle minacce. Le entità finanziarie devono anche garantire che le strategie aziendali e di resilienza operativa digitale siano aggiornate e integrate con le pratiche di gestione dei rischi informatici.

Le entità finanziarie elaborano, documentano e attuano politiche e procedure per la gestione dei rischi informatici contenenti tutti gli elementi seguenti:

  • a) l’indicazione dell’approvazione del livello di tolleranza per i rischi informatici stabilito in conformità dell’articolo 6, paragrafo 8, lettera b), del regolamento (UE) 2022/2554;
  • b) una procedura e una metodologia per condurre la valutazione dei rischi informatici, che identifichino:
    • i) le vulnerabilità e le minacce che interessano o potrebbero interessare le funzioni commerciali supportate, i sistemi di TIC e le risorse TIC che supportano tali funzioni;
    • ii) gli indicatori quantitativi o qualitativi per misurare l’impatto e la probabilità delle vulnerabilità e delle minacce di cui al punto i);
  • c) la procedura per identificare, attuare e documentare le misure di trattamento dei rischi informatici per i rischi identificati e valutati, compresa la determinazione delle misure di trattamento dei rischi informatici necessarie per far rientrare il rischio informatico nel livello di tolleranza per i rischi di cui alla lettera a);
  • d) per i rischi informatici residui ancora presenti dopo l’attuazione delle misure di trattamento dei rischi informatici di cui alla lettera c):
    • i) disposizioni relative all’identificazione di tali rischi informatici residui;
    • ii) l’assegnazione di ruoli e responsabilità per quanto riguarda:
      • (1) l’accettazione dei rischi informatici residui che superano il livello di tolleranza per i rischi dell’entità finanziaria di cui alla lettera a);
      • (2) il processo di riesame di cui al punto iv) della presente lettera d);
    • iii) l’elaborazione di un inventario dei rischi informatici residui accettati, compresa la motivazione della loro accettazione;
    • iv) disposizioni relative al riesame, almeno una volta all’anno, dei rischi informatici residui accettati, che comprendano:
      • 1) l’identificazione di eventuali cambiamenti nei rischi informatici residui;
      • 2) la valutazione delle misure di attenuazione disponibili;
      • 3) la valutazione della validità e dell’applicabilità, alla data del riesame, delle motivazioni che giustificano l’accettazione dei rischi informatici residui;
  • e) disposizioni sul monitoraggio:
    • i) di qualsiasi cambiamento nel panorama dei rischi informatici e delle minacce informatiche;
    • ii) di vulnerabilità e minacce interne ed esterne;
    • iii) del rischio informatico dell’entità finanziaria, che consentano di individuare tempestivamente i cambiamenti che potrebbero influire sul suo profilo di rischio informatico;
  • f) disposizioni relative a un processo per garantire che si tenga conto di eventuali modifiche alla strategia aziendale e alla strategia di resilienza operativa digitale dell’entità finanziaria.

Ai fini del primo comma, lettera c), la procedura di cui a tale lettera garantisce:

  • a) il monitoraggio dell’efficacia delle misure di trattamento dei rischi informatici attuate;
  • b) la valutazione del raggiungimento dei livelli di tolleranza per i rischi fissati dall’entità finanziaria;
  • c) la valutazione del fatto che l’entità finanziaria abbia intrapreso azioni per correggere o migliorare tali misure, ove necessario.

Tutti gli articoli