RTS Articolo 34 – Sicurezza delle operazioni riguardanti le TIC

Home » RTS e ITS DORA » RTS sulla gestione del rischio TIC e sul quadro semplificato di gestione del rischio TIC » RTS Articolo 34 – Sicurezza delle operazioni riguardanti le TIC
Sintesi Articolo 34

Le entità finanziarie di cui all’articolo 16 DORA devono gestire in modo proattivo le risorse TIC (Tecnologie dell’Informazione e della Comunicazione). Esse devono monitorare il ciclo di vita delle risorse, assicurarsi che siano supportate dai fornitori terzi, e identificare i requisiti di capacità per prevenire carenze. Devono anche eseguire scansioni automatizzate delle vulnerabilità, gestire i rischi legati a risorse obsolete, e registrare eventi rilevanti nei log. Inoltre, devono monitorare e analizzare attività anomale, aggiornare le informazioni sulle minacce informatiche, e implementare misure per prevenire fughe di informazioni e altre minacce alla sicurezza.

Le entità finanziarie di cui all’articolo 16, paragrafo 1, del regolamento (UE) 2022/2554, nell’ambito dei loro sistemi, protocolli e strumenti e per tutte le risorse TIC:

  • a) monitorano e gestiscono il ciclo di vita di tutte le risorse TIC;
  • b) monitorano se le risorse TIC sono supportate da fornitori terzi di servizi TIC delle entità finanziarie, ove applicabile;
  • c) identificano i requisiti di capacità delle proprie risorse TIC e le misure per mantenere e migliorare la disponibilità e l’efficienza dei sistemi di TIC e prevenire le carenze di capacità TIC prima che si concretizzino;
  • d) eseguono scansioni e valutazioni automatizzate delle vulnerabilità delle risorse TIC commisurate alla loro classificazione di cui all’articolo 30, paragrafo 1, e al profilo di rischio complessivo della risorsa TIC, e applicano patch per risolvere le vulnerabilità identificate;
  • e) gestiscono i rischi relativi a risorse TIC obsolete, non supportate o legacy;
  • f) registrano nei log gli eventi relativi al controllo degli accessi logici e fisici, alle operazioni riguardanti le TIC, comprese le attività di sistema e di traffico di rete, e alla gestione delle modifiche delle TIC;
  • g) identificano e attuano misure per monitorare e analizzare le informazioni su attività e comportamenti anomali per le operazioni essenziali o importanti riguardanti le TIC;
  • h) attuano misure per monitorare le informazioni pertinenti e aggiornate sulle minacce informatiche;
  • i) attuano misure per identificare possibili fughe di informazioni, codici malevoli e altre minacce alla sicurezza, nonché vulnerabilità pubblicamente note in software e hardware e verificano la disponibilità di nuovi aggiornamenti di sicurezza corrispondenti.

Ai fini della lettera f), le entità finanziarie allineano il livello di dettaglio dei log allo scopo e all’utilizzo della risorsa TIC che li produce.

Tutti gli articoli