Sintesi Articolo 34
Le entità finanziarie di cui all’articolo 16 DORA devono gestire in modo proattivo le risorse TIC (Tecnologie dell’Informazione e della Comunicazione). Esse devono monitorare il ciclo di vita delle risorse, assicurarsi che siano supportate dai fornitori terzi, e identificare i requisiti di capacità per prevenire carenze. Devono anche eseguire scansioni automatizzate delle vulnerabilità, gestire i rischi legati a risorse obsolete, e registrare eventi rilevanti nei log. Inoltre, devono monitorare e analizzare attività anomale, aggiornare le informazioni sulle minacce informatiche, e implementare misure per prevenire fughe di informazioni e altre minacce alla sicurezza.
Le entità finanziarie di cui all’articolo 16, paragrafo 1, del regolamento (UE) 2022/2554, nell’ambito dei loro sistemi, protocolli e strumenti e per tutte le risorse TIC:
- a) monitorano e gestiscono il ciclo di vita di tutte le risorse TIC;
- b) monitorano se le risorse TIC sono supportate da fornitori terzi di servizi TIC delle entità finanziarie, ove applicabile;
- c) identificano i requisiti di capacità delle proprie risorse TIC e le misure per mantenere e migliorare la disponibilità e l’efficienza dei sistemi di TIC e prevenire le carenze di capacità TIC prima che si concretizzino;
- d) eseguono scansioni e valutazioni automatizzate delle vulnerabilità delle risorse TIC commisurate alla loro classificazione di cui all’articolo 30, paragrafo 1, e al profilo di rischio complessivo della risorsa TIC, e applicano patch per risolvere le vulnerabilità identificate;
- e) gestiscono i rischi relativi a risorse TIC obsolete, non supportate o legacy;
- f) registrano nei log gli eventi relativi al controllo degli accessi logici e fisici, alle operazioni riguardanti le TIC, comprese le attività di sistema e di traffico di rete, e alla gestione delle modifiche delle TIC;
- g) identificano e attuano misure per monitorare e analizzare le informazioni su attività e comportamenti anomali per le operazioni essenziali o importanti riguardanti le TIC;
- h) attuano misure per monitorare le informazioni pertinenti e aggiornate sulle minacce informatiche;
- i) attuano misure per identificare possibili fughe di informazioni, codici malevoli e altre minacce alla sicurezza, nonché vulnerabilità pubblicamente note in software e hardware e verificano la disponibilità di nuovi aggiornamenti di sicurezza corrispondenti.
Ai fini della lettera f), le entità finanziarie allineano il livello di dettaglio dei log allo scopo e all’utilizzo della risorsa TIC che li produce.