RTS Articolo 37 – Acquisizione, sviluppo e manutenzione dei sistemi di TIC

Home » RTS e ITS DORA » RTS sulla gestione del rischio TIC e sul quadro semplificato di gestione del rischio TIC » RTS Articolo 37 – Acquisizione, sviluppo e manutenzione dei sistemi di TIC
Sintesi Articolo 37

Le entità finanziarie di cui all’articolo 16 DORA devono adottare una procedura basata sul rischio per l’acquisizione, lo sviluppo e la manutenzione dei sistemi TIC. Tale procedura deve garantire: (a) la definizione e approvazione dei requisiti funzionali e di sicurezza prima dell’acquisizione o sviluppo; (b) il test e l’approvazione dei sistemi TIC prima del loro utilizzo o di eventuali modifiche; (c) l’identificazione di misure per mitigare il rischio di alterazioni involontarie o manipolazioni intenzionali dei sistemi durante lo sviluppo e l’implementazione.

Le entità finanziarie di cui all’articolo 16, paragrafo 1, del regolamento (UE) 2022/2554 progettano e attuano, se del caso, una procedura che disciplina l’acquisizione, lo sviluppo e la manutenzione dei sistemi di TIC secondo un approccio basato sul rischio. Tale procedura:

  • a) garantisce che, prima di qualsiasi acquisizione o sviluppo di sistemi di TIC, siano chiaramente specificati e approvati dalla funzione aziendale interessata i requisiti funzionali e non funzionali, compresi quelli relativi alla sicurezza delle informazioni;
  • b) garantisce che i sistemi di TIC siano testati e approvati prima del loro primo utilizzo e prima di introdurre modifiche nell’ambiente di produzione;
  • c) identifica le misure di attenuazione del rischio di alterazione non intenzionale o di manipolazione intenzionale dei sistemi di TIC durante lo sviluppo e l’implementazione nell’ambiente di produzione.

Tutti gli articoli