Sintesi Articolo 35
Le entità finanziarie di cui all’articolo 16 DORA devono implementare salvaguardie per proteggere la sicurezza delle reti e dei dati. Le misure includono la protezione dei dati in uso, transito e a riposo, la sicurezza dei software e dispositivi utilizzati, la prevenzione di connessioni non autorizzate, e la protezione del traffico di rete. Inoltre, devono essere adottati processi sicuri per la cancellazione e lo smaltimento dei dati e dei dispositivi di archiviazione. Infine, le entità devono garantire che il telelavoro e l’uso di dispositivi privati non compromettano le attività critiche.
Le entità finanziarie di cui all’articolo 16, paragrafo 1, del regolamento (UE) 2022/2554, nell’ambito dei loro sistemi, protocolli e strumenti, elaborano e attuano salvaguardie che garantiscono la sicurezza delle reti contro le intrusioni e l’uso improprio dei dati e che preservano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati. In particolare, le entità finanziarie, tenendo conto della classificazione di cui all’articolo 30, paragrafo 1, del presente regolamento, stabiliscono tutti gli elementi seguenti:
- a) l’identificazione e l’attuazione di misure di protezione dei dati in uso, in transito e a riposo;
- b) l’identificazione e l’attuazione di misure di sicurezza relative all’uso di software, supporti di memorizzazione dei dati, sistemi e dispositivi endpoint utilizzati per trasferire e memorizzare dati dell’entità finanziaria;
- c) l’identificazione e l’attuazione di misure per prevenire e individuare connessioni non autorizzate alla rete dell’entità finanziaria e per proteggere il traffico di rete tra le reti interne dell’entità finanziaria e Internet e altre connessioni esterne;
- d) l’identificazione e l’attuazione di misure che garantiscano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati durante le trasmissioni di rete;
- e) un processo per cancellare in modo sicuro i dati nei locali o memorizzati esternamente che l’entità finanziaria non ha più bisogno di raccogliere o conservare;
- f) un processo per smaltire o dismettere in modo sicuro i dispositivi di archiviazione dati presenti nei locali o quelli conservati all’esterno contenenti informazioni riservate;
- g) l’identificazione e l’attuazione di misure per garantire che il telelavoro e l’uso di dispositivi endpoint privati non abbiano un impatto negativo sulla capacità dell’entità finanziaria di svolgere le proprie attività critiche in modo adeguato, tempestivo e sicuro.