Sintesi Articolo 31
Le entità finanziarie di cui all’articolo 16 DORA devono adottare un quadro semplificato per la gestione dei rischi informatici. Questo include la definizione dei livelli di tolleranza per tali rischi, l’identificazione e valutazione dei rischi informatici, e la creazione di strategie di mitigazione per i rischi non tollerabili. Le entità devono monitorare l’efficacia delle strategie di mitigazione e valutare continuamente i rischi derivanti da modifiche ai sistemi TIC o da incidenti. Inoltre, devono monitorare costantemente le minacce e stabilire soglie di allarme e criteri per la risposta agli incidenti informatici.
- Le entità finanziarie di cui all’articolo 16, paragrafo 1, del regolamento (UE) 2022/2554 includono nel loro quadro semplificato per la gestione dei rischi informatici tutti gli elementi seguenti:
- a) la determinazione dei livelli di tolleranza per i rischi informatici, conformemente alla propensione al rischio dell’entità finanziaria;
- b) l’identificazione e la valutazione dei rischi informatici a cui l’entità finanziaria è esposta;
- c) la specifica delle strategie di attenuazione almeno per i rischi informatici che non rientrano nei livelli di tolleranza per i rischi dell’entità finanziaria;
- d) il monitoraggio dell’efficacia delle strategie di attenuazione di cui alla lettera c);
- e) l’identificazione e la valutazione dei rischi informatici e di sicurezza delle informazioni derivanti da qualsiasi modifica di rilievo del sistema di TIC o dei servizi TIC, dei processi o delle procedure e dai risultati dei test di sicurezza delle TIC e dopo qualsiasi incidente grave connesso alle TIC.
- Le entità finanziarie di cui al paragrafo 1 effettuano e documentano periodicamente la valutazione dei rischi informatici in funzione del profilo di rischio informatico delle entità finanziarie.
- Le entità finanziarie di cui al paragrafo 1 monitorano costantemente le minacce e le vulnerabilità rilevanti per le loro funzioni essenziali o importanti, nonché per i patrimoni informativi e le risorse TIC, e riesaminano regolarmente gli scenari di rischio che hanno un impatto su tali funzioni essenziali o importanti.
- Le entità finanziarie di cui al paragrafo 1 stabiliscono soglie di allarme e criteri per l’attivazione e l’avvio dei processi di risposta agli incidenti connessi alle TIC.